Keimpx un outil d'audit pour les réseaux Microsoft Windows

Par Xavier Poli, secuobs.com
Le 26/02/2010

---

Résumé : Keimpx est un outil permettant de vérifier sur quelles machines d'un réseau Microsoft Windows un attaquant est capable d'obtenir un shell SMB interactif grâce aux éléments qui sont déjà en sa possession. - Lire l'article



En face d'un large réseau de systèmes Windows et lorsqu'une machine interne a pu préalablement être compromise, Keimpx est un outil qui permet de vérifier quels sont les autres systèmes sur lesquels un attaquant est en mesure de s'authentifier avec les éléments en sa possession.

Des outils comme PsExec ( lien ), SMBshell ( lien ) ou le module PsExec ( lien ) de Metasploit existent déjà pour effectuer ce genre de tâches, néanmoins ils présentent l'inconvénient de ne pouvoir tester qu'un seul système distant à la fois.

Keimpx permet quant à lui de définir le nombre de tests simultanés, dix étant la valeur définie par défaut. Lorsqu'un test s'avère concluant, de nombreux éléments peuvent alors être énumérés comme les partages, les utilisateurs, les domaines et les polices relatives aux mots de passe. L'exécution de commandes et la manipulation des partages SMB sont également supportées par cette version alors que l'accès à la base de registre devrait faire son apparition dans la prochaine.

En plus des mots de passe classiques, Keimpx accepte, contrairement à PsExec, les hachages NTLM ( lien ). Ces hachages peuvent être obtenus à l'aide d'outils comme PTH Toolkit ( lien ), fgdump ( lien ) ou PWDumpX ( lien ). Le mode « Batch » de Keimpx permet par ailleurs de l'intégrer au sein de scripts, aucun shell SMB interactif ne sera alors proposé en retour. A noter que Keimpx a été développé en Python à l'aide de la librairie Impacket ( lien ) de CORE Impact.

Site officiel ( lien )

Source : Security Database Tools Watch ( lien )