msf > load mimikatz
加載msf中自帶的mimikatz模塊,需要administrator或者system權限
help mimikatz——查看進程用法
- kerberos:kerberos相關的模塊
- livessp:嘗試檢索livessp憑據
- mimikatz_command:運行一個定制的命令
- msv:msv憑證相關的模塊,列出目標主機的用戶密碼哈希
- ssp:ssp憑證相關的模塊
- tspkg:tspkg憑證相關的模塊
- wdigest:wdigest憑證相關的模塊
kerberos模塊:用於抓取kerberos證書
Kerberos 是一種網絡認證協議,其設計目標是通過密鑰系統為客戶機 / 服務器應用程序提供強大的認證服務。該認證過程的實現不依賴於主機操作系統的認證,無需基於主機地址的信任,不要求網絡上所有主機的物理安全,並假定網絡上傳送的數據包可以被任意地讀取、修改和插入數據。在以上情況下, Kerberos 作為一種可信任的第三方認證服務,是通過傳統的密碼技術(如:共享密鑰)執行認證服務的。
livessp模塊:檢索livessp憑據
mimikatz_command:這個模塊可以讓我們使用mimikatz的全部功能
system::user-----查看當前登錄的系統用戶
system::computer-------查看計算機名稱
process::list------------------列出進程
process::suspend 進程名稱 -----暫停進程
process::stop 進程名稱---------結束進程
process::modules --列出系統的核心模塊及所在位置
service::list---------------列出系統的服務
service::remove-----------移除系統的服務
service::start stop 服務名稱--啟動或停止服務
privilege::list---------------列出權限列表
privilege::enable--------激活一個或多個權限
privilege::debug-----------------提升權限
nogpo::cmd------------打開系統的cmd.exe
nogpo::regedit -----------打開系統的注冊表
nogpo::taskmgr-------------打開任務管理器
ts::sessions-----------------顯示當前的會話
ts::processes------顯示進程和對應的pid情況等
sekurlsa::wdigest-----獲取本地用戶信息及密碼
sekurlsa::tspkg------獲取tspkg用戶信息及密碼
sekurlsa::logonPasswords--獲登陸用戶信息及密碼
sekurlsa::minidump 1.dmp--導出文件
system::user-----查看當前登錄的系統用戶
system::computer-------查看計算機名稱
process::list------------------列出進程
process::suspend 進程名稱 -----暫停進程
process::stop 進程名稱---------結束進程
process::modules --列出系統的核心模塊及所在位置
service::list---------------列出系統的服務
service::remove-----------移除系統的服務
service::start stop 服務名稱--啟動或停止服務
privilege::list---------------列出權限列表
privilege::enable--------激活一個或多個權限
privilege::debug-----------------提升權限
ts::sessions-----------------顯示當前的會話
ts::processes------顯示進程和對應的pid情況等
sekurlsa::wdigest-----獲取本地用戶信息及密碼
sekurlsa::tspkg------獲取tspkg用戶信息及密碼
sekurlsa::logonPasswords--獲登陸用戶信息及密碼
sekurlsa::minidump 1.dmp--導出文件
msv模塊:列出密碼哈希
SSP模塊:抓取SSP證書
SSP,安全支持提供程序(SSP)是Windows API,用於擴展Windows身份驗證機制。LSASS進程正在Windows啟動期間加載安全支持提供程序DLL。這種行為使紅隊的攻擊者可以刪除一個任意的SSP DLL以便與LSASS進程進行交互並記錄該進程中存儲的所有密碼,或者直接用惡意的SSP對該進程進行修補而無需接觸磁盤。
tspkg模塊:抓取tspkg證書
遠程連接時的網絡身份認證
wdigest模塊:抓取wdigest證書
從lsass進程中提取憑據,通常可獲得已登錄用戶的明文口令(Windows Server 2008 R2及更高版本的系統默認無法獲得,需要修改注冊表等待用戶再次登錄才能獲得)
