mimikittenz est un outil PowerShell post-exploitation qui utilise la fonction Windows ReadProcessMemory () pour extraire les mots de passe en texte brut de différents processus cibles.
mimikittenz peut également extraire facilement d'autres types d'informations intéressantes à partir de processus cibles en utilisant des modèles de regex, notamment:

TRACK2 (Carte de crédit) données provenant des processus marchand / point de vente
PII data
Clés de cryptage et plein d'autres chose intéressantes

Remarque: cet outil cible un espace d'adressage de mémoire en cours d'exécution. Une fois qu'un processus est tué, sa mémoire "devrait" être nettoyée et inaccessible. Cependant, certains cas de figure ne se produisent pas.

Copie d'écran

Description

Le but de mimikittenz est de fournir une extraction de données sensibles au niveau utilisateur (non privilégiée par l'administrateur) afin de maximiser les efforts post-exploitation et d'augmenter la valeur des informations collectées par cible.
Actuellement, mimikittenz est capable d'extraire les informations d'identification suivantes de la mémoire:
#####Webmail#####

Gmail
Office365
Outlook Web

#####Accounting#####

Xero
MYOB

#####Remote Access#####

Juniper SSL-VPN
Citrix NetScaler
Remote Desktop Web Access 2012

#####Developement#####

Jira
Github
Bugzilla
Zendesk
Cpanel

#####IHateReverseEngineers#####

Malwr
VirusTotal
AnubisLabs

#####Misc#####

Dropbox
Microsoft Onedrive
AWS Web Services
Slack
Twitter
Facebook

Licence

https://creativecommons.org/licenses/by/4.0/

Personnalisation

Regex personnalisée - La syntaxe pour ajouter une regex personnalisée est la suivante:

[mimikittenz.MemProcInspector]::AddRegex("","")

Processus cible personnalisé - Ajoutez simplement le nom du processus cible dans le tableau:

[mimikittenz.MemProcInspector]::InspectManyProcs("iexplore","chrome","firefox")
Contributions
Je serais ravi de voir la liste des regex et de la cible augmenter afin de construire une liste complète de hits post-exploitation.

Avertissement

L'utilisation de ce programme ne peut se faire que dans le cadre légal d'un audit de vulnérabilités, basé sur le consentement mutuel. Il est de la responsabilité de l'utilisateur final de ne pas utiliser ce programme dans un autre cadre. SecuriteInfo.com n'assume aucune responsabilité et n'est pas responsable de toute mauvaise utilisation ou de tout dommage causé par ce programme.

Téléchargement

Tags

RÉTRO-INGENIERIE FUITE D'INFORMATIONS SYSTÈME D'EXPLOITATION WINDOWS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...