Pentest - Mimikatz

最新推荐文章于 2023-12-21 14:55:23 发布
最新推荐文章于 2023-12-21 14:55:23 发布
阅读量7.3k 收藏 1
点赞数
分类专栏: Pentesting Maintaining Access Password Attacks
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nixawk/article/details/48396209
版权
本文介绍了Kerberos与NTLM的比较,重点讲解了Skeleton Key攻击,这是一种允许攻击者使用特定主密码登录任何域用户账户的恶意软件。Mimikatz,一个安全工具,现在也具备了Skeleton Key功能,可以在所有Windows Server版本上运行。保护AD管理员账户和禁止不受信任的代码在域控制器上运行是防止此类攻击的关键。
摘要由CSDN通过智能技术生成

Overview

Active Directory supports two primary authentication protoc
ols, NTLM and Kerberos. Modern Windows versions default to Kerberos authentication.

NTLM suffers from two main weaknesses:

  • 1) the NTLM password hash only changes when the password changes, so exposure of this hash provides access to the account until the password is changed, and
  • 2) the server hosting the resource needs to check with
    the Domain Controller to verify the challenge response data sent from the client is valid.

Kerberos improves on these issues by

  • 1) limiting the Kerberos ticket lifetime so if the ticket is stolen, can only be used for a set amount of time,
  • 2) the authentication flow involves the user getting a service ticket (from a DC) for the service on a server which the server checks without requiring communication
    with a DC.

Kerberos Communication

Here’s a quick example describing how Kerberos works:
User logs on with username & password.

1a. Password converted to NTLM hash, a timestamp is encrypted with the hash and sent to the KDC as 
an authenticator in the authentication ticket (TGT) request (AS-REQ).

1b. The Domain Controller (KDC) checks user information (logon restrictions, group membership, etc) & creates Ticket -Granting Ticket (TGT).
2. The TGT is encrypted, signed, & delivered to the user (AS-REP).Only the Kerberos service (KRBTGT) in the domain can open and read TGT data.
3. The User presents the TGT to the DC when requesting a Ticket Granting Service (TGS) ticket (TGS-REQ). The DC opens the TGT & validates PAC checksum –If the DC can open the ticket & the checksum check out, TGT = valid. The data in the TGT is effectively copied to create the TGS ticket.
4. The TGS is encrypted using 
the target service accounts’ NTLM password hash and sent to the user (TGS-REP).
5.The user connects to the server hosting the service on the appropriate port & presents the TGS (AP-REQ). The service opens the TGS ticket using its NTLM password hash.
6. If mutual authentication is required by the client (think MS15-011: the Group Policy patch from February that added UNC hardening).
Unless PAC validation is required (rare), the service accepts all data in the TGS ticket with no communication to the DC.

kerberos communication

The Skeleton Key malware is installed on one or multiple Domain Controllers running a supported 64bit OS.
The malware “patches” the security system enabling a new master password to be accepted for any domain user, including admins.

This enables the attacker to logon as any user they want with the master password (skeleton key) configured in the malware.

“Joe User” logs in using his usual password with no changes to his account. The attacker can log in as Joe using the skeleton key password and it is seen as a valid logon…

Key points

  • Requires domain-level admin rights (and debug rights which admins have by default) to “patch” LSASS on a Domain Controller.
  • All existing user account passwords continue working as normal.
  • Adds a new password that enables the attacker to log on as any user with this password – this is the “skeleton key”.
  • Active Directory Domain Controllers may experience replication issues.
  • User accounts that require a smart card for authentication are not affected.
  • The Skeleton Key malware currently doesn’t remain active after a reboot – rebooting the DCs removes the in-memory patch. Note that DCs are typically only rebooted about once a month.
  • The Skeleton Key malware only works on the following 64-bit systems: Windows Server 2008, Windows Server 2008 R2, and Windows Server 2003 R2.
  • Mimikatz now has skeleton key functionality and seems to work on all versions of Windows Server…
  • Protect your Active Directory admin accounts and don’t let untrusted code run on Domain Controllers.

Mimikatz Functions

mimikatz # base64::
ERROR mimikatz_doLocal ; "base64" module not found !

        standard  -  Standard module  [Basic commands (does not require module name)]
          crypto  -  Crypto Module
        sekurlsa  -  SekurLSA module  [Some commands to enumerate credentials...]
        kerberos  -  Kerberos package module  []
       privilege  -  Privilege module
         process  -  Process module
         service  -  Service module
         lsadump  -  LsaDump module
              ts  -  Terminal Server module
           event  -  Event module
            misc  -  Miscellaneous module
           token  -  Token manipulation module
           vault  -  Windows Vault/Credential module
     minesweeper  -  MineSweeper module
             net  -  
           dpapi  -  DPAPI Module (by API or RAW access)  [Data Protection application programming interface]

Standard

mimikatz # standard::
ERROR mimikatz_doLocal ; "(null)" command of "standard" module not found !

Module :    standard
Full name : Standard module
Description :   Basic commands (does not require module name)

            exit  -  Quit mimikatz
             cls  -  Clear screen (doesn't work with redirections, like PsExec)
          answer  -  Answer to the Ultimate Questi
最低0.47元/天 解锁文章
Nixawk
关注
专栏目录
mimikatz使用以及源码动态分析
weixin_46956745的博客
05-08 3039
mimikatz使用以及源码分析 文章目录mimikatz使用以及源码分析前言一、mimikatz安装运行二、mimikatz源码分析1.函数具体功能2.函数源码分析(动态)总结 前言 Mimikatz 是法国人 Gentil Kiwi 编写的一款 windows 平台下的神器,它具备很多功能,其中最亮的功能是直接从 lsass.exe 进程里获取 windows 处于 active 状态账号的明文密码。mimikatz 的功能不仅如此,它还可以提升进程权限,注入进程,读取进程内存等等,mimikatz
mimikatz工具
03-08
本工具可以提取存于windows电脑内存中的密码,安全无毒,最新版工具.
域横向移动分析
qq_38675102的博客
12-31 904
windwos内网横移学习笔记
ModuleNotFoundError: No module named ‘CommandNotFound‘(安装pip后查看版本出现报错)
qq_40259429的博客
08-10 1317
安装完pip,新建了软连接,查看pip和pip3的版本,报错 这是pip软链接的问题,我在新的位置创建了新的pip软连接,与原有的冲突了 (1)首先查看原有的,pip位于/home/lwcui/.local/bin/pip,而我又在/usr/bin新建了pip的软连接 (2)将两个都删除掉 (3)然后就是正常的新建软连接 ...
mimikazhi Kerberos Modules
渗透测试研究中心
11-03 211
Kerberos Modules 1. .#####. mimikatz 2.0 alpha (x64) release "Kiwi en C" (Oct 9201500:33:13) 2. .## ^ ##. 3. ## / \ ## /* * * 4. ## \ / ## Benjamin DELPY `gentilkiwi` ( benjamin@gentil...
metasploit小白教程总结
sweetie 的博客
01-03 2440
msf小白学习教程一 1.msf是什么? msf全称:metasplpit 作用:Metasploit是一个渗透测试平台 环境:kali-linux 自动搭建了msf环境 2.msf的详细分解 在这边我就化繁为简,把一些我感觉重要常用的功能详细的讲解一番。 2.1搜索模块 首先肯定是启动msf,启动就很简单了,在kali命令行输入:msfconsole 如果记不住,可以直接:msfc然后加一个tab,然后就会自动补全,回车就好了。 2.1.1 搜索模块命令:search 命令介绍:msfconsole
pentest-tools:一些工具
02-10
6. **Invoke-Mimikatz**:Mimikatz是一个著名的内存取证工具,通过PowerShell接口可以提取密码、凭据和其他敏感信息。 7. **PSRecon**:这款工具用于进行本地系统的信息收集,包括用户列表、进程信息、网络连接、...
Pentest - PowerSploit
Nixawk
11-08 5006
PowerSploit is a collection of PowerShell scripts which can prove to be very useful during some exploitation and mostly post-exploitation phases of a penetration test.If you have GIT, then you can simp
红队专题-内网横向-工作组Workgroup与 Domain Active Directory域渗透
最新发布
aming小老弟
12-21 1269
通过使用活动目录,管理员能够中心化、批量地更新和管理操作系统、应用、用户以及对数据的访问,而用户和管理员也能很容易地获取这些信息。而且因为活动目录具备中心化的管理能力,攻击者一旦获得域管理员权限,即可控制域内所有用户和主机,因此活动目录域环境也备受攻击者青睐。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困难一些。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。
内网安全学习(五)----域横向: SPN&RDP&Cobalt Strike
qi_SJQ_的博客
02-13 1220
域横向 CobaltStrike&SPN&RDP 1.域横向移动—RDP传递-Mimikatz 除了之前提到的IPC、WMI、SMB、NTLM等协议的连接外,获取到的明文密码或HASH密文也可以通过RDP协议(3389端口)进行连接操作。 1)RDP明文密码连接: Windows: mstsc mstsc.exe /console /v192.168.3.21 /admin linux: rdesktop 192.168.3.21:3389 2)RDP密文hash连接: windows
常见的ModuleNotFound:No module named “...”解决方法
qq_43606268的博客
10-12 2万+
一般来说在使用第三方python库时,经常会遇到类似ModuleNotFound:No module named “...”之类的问题,常见的原因有以下几种: 1. 未安装该第三方库 这种是比较简单的,因为python本身虚拟环境并不存在该模块,所以在引用时会出现找不到的情况,这种情况下只需要在你的python环境中安装所需包即可。 pip install ... (...即为运行报错中的模块) 2. 安装库文件的虚拟环境并非你所使用的虚拟环境 之前我在pycharm中遇到该问题时,...
Mimikatz ERROR kuhl_m_sekurlsa_acquireLSA ; Key import
BlackNight168的博客
12-19 717
关键进口” 我尝试了早期版本2.1.1 #17763,并运行sekurlsa::logonpasswords就可以了。原文链接:https://blog.csdn.net/u012206617/article/details/129790597。版权声明:本文为CSDN博主「墨痕诉清风」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。从报错信息看,有一个key导致失败了,查了一下github原地址 issue 找到了答案。1. 确定不是权限的问题,已是最高权限。
lua require绝对路径文件时 module not found解决方法
Mr_老冷的博客
12-23 2万+
lua进行require绝对路径时,会从package.path中进行遍历 print(package.path)会得到类似下面的结果: --> "lualibs/p4ulibs/?.lua;lualibs/?.lua;lualibs/?/?.lua;lualibs/?/init.lua;" 故我们可以通过对package.path修改, 来让lua对我们的个人路径进行包含   假...
mimikatz使用方法
子曰小玖的博客
04-29 2293
Home gentilkiwi edited this pageon 8 Sep 2014·36 revisions mimikatzis a tool I've made to learn C and make somes experiments with Windows security. It's well known toextract plaintexts passwor...
Linux下的 command not found错误(解决方法)
热门推荐
it琦 的博客
12-22 46万+
Linux下的 command not found错误(解决方法)
内网渗透中mimikatz使用
pyphrb的博客
07-28 4万+
0x01 简介mimikatz,很多人称之为密码抓取神器,但在内网渗透中,远不止这么简单0x02 测试环境网络资源管理模式:域 已有资源:域内一台主机权限 操作系统:win7 x64 域权限:普通用户0x03 测试目标1、获得域控权限 2、导出所有用户口令 3、维持域控权限0x04 测试过程1、获取本机信息mimikatz:privilege::debug sekurlsa::logonpas
mimikatz的原理,哪个补丁导致了mimikatz无法获取明文密码,如何绕过?
Ping_Pig的博客
11-10 3782
讲在前面: 对于mimikatz的原理本文只通过简单的话语表述,并在文章后给出分析的思路和参考文章。对于绕过补丁,本文只对KB2871997补丁做阐述,并且犹豫对mimikatz的介绍文章非常之多,所以本文只取重点罗列,让读者能够简单快速的明白关键点,深入理解在文章后给出分析思路和参考文章。 mimikazt的原理 注意:本文对mimikatz获取lsass.exe进程中明文密码的原理做简单描述。 开发语言:C/C++。 开发初衷:深入学习Windows系统以及C/C++语言。 获取明文密码:
mimikatz】获取windows平台的用户密码以及解决报错问题记录
weixin_44723534的博客
03-26 7208
一、思路 1.准备虚拟机环境windows7、windows10 2.检查电脑是32位还是64位 3.根据电脑32位/32位下载mimikatz工具 4.提前把电脑杀毒功能关闭 5.支持获取用户密码平台 支持:windows 7、windows server 2008、windows server 2012 不支持:windows10 6.mimikatz工具功能 mimikatz工具直接从lsass.exe进程里获取windows处于active状态账号的明文密码。 支持提升进程权限、注入进程,读取进程内
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值