如何防御mimikatz致敬Mimikatz攻防杂谈学习笔记

最新推荐文章于 2024-07-04 11:22:20 发布
最新推荐文章于 2024-07-04 11:22:20 发布
阅读量380 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/KevinGeorge/p/9629533.html
版权

零、绪论:mimikatz简介

mimikatz是一款出色的内网渗透工具,可以抓取windows主机的明文密码、NTLMhash值或者kerberos对应的缓存凭据。mimikatz的使用在获取权限后可以上传到目标主机上,或者在msf上直接加载。
1070321-20180911180254792-1183702102.png
1070321-20180911181244120-1356274349.png

Mimikatz Commands
=================

    Command           Description
    -------           -----------
    kerberos          Attempt to retrieve kerberos creds
    livessp           Attempt to retrieve livessp creds
    mimikatz_command  Run a custom command
    msv               Attempt to retrieve msv creds (hashes)
    ssp               Attempt to retrieve ssp creds
    tspkg             Attempt to retrieve tspkg creds
    wdigest           Attempt to retrieve wdigest creds

一、防御措施一:关闭程序调试权限

debug:privilege玩过mimkatz肯定对这条命令记忆犹新,获取程序调试的权限,一般这个权限在administrator的权限种,但实际上如果不是程序员,这个权限没有必要,可以关闭,但域中的机器,此方法无效,因为OU组策略的优先级最高,而这个权限在ou组权限中没有定义,无法配置。
1070321-20180911182717310-939322231.png

附录:windows 策略优先级从高到低

OU Policy->Domain Policy->Site Policy->Local Policy

二、防御措施二:WDigest协议禁用

在winserver2008之前,该协议配置项默认启用,会在lsass.exe进程中保存明文密码用于http认证,需要打补丁KB2871997来配置禁用,winserver2008和以后版本默认禁用。缓存未知如下注册表键值,0为不缓存,1为缓存

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest

三、防御措施三:不缓存域凭证

简单DDC的背景简介

Domain Cached Credentials 简称 DDC,也叫 mscache。有两个版本,XP/2003 年代的叫第一代,Vasta/2008 之后的是第二代。缓存位置如下:

HKEY_LOCAL_MACHINE\SECURITY\Cache

不缓存凭证的话,当然也就抓不到平局了。

配置项

1070321-20180911183711695-376997458.png

四、其他措施或注意事项

受保护用户组:

受保护的用户组会强迫本地管理员账号强行走kerberos认证,这是在winserver2012之后新加入的,winserver2008以及之前版本需要打补丁KN2871997。

受限管理员模式

在win8.1/winserver2012r2引入,之前需要打补丁KN2871997和KB2973351。该模式存在问题,可以直接利用当前缓存登录,攻击手法RDP-PTH

mimikatz# sekurlsa::pth /user:bobac /domain:172.16.204.139 /ntlm:hash-value "/run:mstsc.exe /restrictedadmin"

鸣谢:

参考文献:
hl0rey在信安之路发布的文章:Mimikatz 攻防杂谈

转载于:https://www.cnblogs.com/KevinGeorge/p/9629533.html

weixin_30496751
关注
Mimikatz获取系统密码攻防研究
weixin_44023460的博客
06-23 4632
Mimikatz是法国人benjamin开发的一款功能强大的轻量级调试工具,本意是用来个人测试,但由于其功能强大,能够直接读取WindowsXP-2012等操作系统的明文密码而闻名于渗透测试,可以说是渗透必备工具,从早期1.0版本到现在的2.1.1 20180205版本,其功能得到了很大的提升和扩展。Mimikatz最新版本一共三个文件(mimilib.dll、mimikatz.exe、mimidrv.sys),分为Win32位(多了一个mimilove.exe文件)和X64位。通过它们可以提升进程权限、注
远程启用受限管理模式:GhostPack的RestrictedAdmin项目教程
最新发布
gitblog_01119的博客
08-25 820
远程启用受限管理模式:GhostPack的RestrictedAdmin项目教程 RestrictedAdminRemotely enables Restricted Admin Mode项目地址:https://gitcode.com/gh_mirrors/re/RestrictedAdmin 项目介绍 RestrictedAdmin 是由GhostPack维护的一个开源工具,旨在远程启用W...
【问题记录】防止mimikatz获取到明文密码
weixin_43376075的博客
10-19 1175
个人笔记-问题记录-mimikatz
Mimikatz的攻击及防御
weixin_42255372的博客
12-19 798
Mimikatz的攻击及防御 Mimikatz的简介:     Mimikatz为法国人Benjamin Delpy编写的一款轻量级的调试工具,在内网渗透过程中,它多数时候是作为一款抓取用户口令的工具。然而Mimikatz其实并不只有抓取口令这个功能,它还能够创建票证、票证传递、hash传递、甚至伪造域管理凭证令牌。 Mimikatz功能介绍: CRYPTO::Certificates – 列出...
Mimikatz的18种免杀姿势及防御策略
2301_76786857的博客
07-04 360
本文主要介绍了如下5类免杀方式,共18种免杀方法。本文虽然是针对Mimiktaz进行免杀,但更多的是想研究学习一下比较通用的exe的免杀方式,比如文中介绍的exe通用加载器、powershell执行exe、白名单加载exe等有几种方法可以适用于任意的exe免杀,如果只是针对mimikatz进行免杀完全没必要这么啰嗦的。1、源码免杀。在有源码的情况下,可以定位特征码、加花指令、多层跳转、加无效指令、替换api、重写api、API伪调用等等,这部分内容较多略复杂,打算另写一篇进行介绍,本文不多介绍。
mimikatz抓取密码学习攻防
hongduilanjun的博客
07-21 1884
前不久在使用mimikatz抓取hash的时候遇到了报错,本着追根溯源的原则去查看了mimikatz抓取密码的原理。在学习的过程中发现了mimikatz的每种报错都有不同的原因,本文就从mimikatz防御角度出发来分析如何防御mimikatz抓取密码。...
mimikatz_trunk-1_mimikatz_
10-03
标题中的"mimikatz_trunk-1_mimikatz_"很可能是指mimikatz的一个版本或者分支,"trunk"通常是开发过程中的主分支,而数字"1"可能是版本号的一部分。这个压缩包可能包含了该版本的源代码、文档和不同平台的可执行文件...
mimikatz_trunk2.1.1.zip
08-03
mimikatz:Windows安全研究的神器》 在网络安全领域,mimikatz是一款备受瞩目的工具,尤其对于系统管理员和安全研究人员来说,它是一个不可或缺的资源。标题中的"mimikatz_trunk2.1.1.zip"指的是mimikatz的一个...
mimikatz最新版本
11-20
mimikatz,这款工具在信息安全领域中赫赫有名,尤其是对于系统管理员和安全研究人员来说,它是一个强大的工具,用于提取操作系统中的敏感信息,包括但不限于明文密码、NTLM哈希、kerberos票证等。最新版本的mimikatz...
Metasploit——后渗透测试阶段
m0_62063669的博客
08-14 2254
伪造一个AP,诱使别人来连这个AP,别人连了这个AP访问Internet上其他网站服务器的时候,因为流量经过这个AP,就可以在这个AP上嗅探抓包,因为有msf,可以在AP上启动一些漏洞利用模块,然后目标的流量经过AP,一旦发现目标浏览器有漏洞,通过流量分析可以判断浏览器版本是否有漏洞,尝试往流量里注入漏洞利用代码(插入到返回的流量中),一旦返回流量中 收到后有漏洞利用代码,恰好浏览器有对应漏洞,那么代码就会执行,创建新的meterpreter shell。所以设置为LHOST设置为win7的IP。.....
MSF中mimikatz模块的使用
谢公子的博客
11-10 4113
目录 mimikatz模块的加载 mimikatz_command模块的用法 Kerberos模块 Livessp模块 MSV模块(列出密码哈希) SSP模块 tspkg模块 Wdigest模块 mimikatz模块的加载 mimikatz模块的使用需要Administrator权限或者System权限。MSF中自带mimikatz模块,MSF中的 mimikatz 模块同时支...
内网安全 - 域横向移动RDP&SPN
acepanhuan的博客
03-17 532
内网安全 - 域横向移动RDP&SPN
内网渗透测试:初探远程桌面的安全问题
m0_59598029的博客
08-21 613
远程桌面对了解内网渗透的人来说可能再熟悉不过了。在渗透测试中,拿下一台主机后有时候会选择开 3389进远程桌面查看一下对方主机内有无一些有价值的东西可以利用。但是远程桌面的利用不仅如此,本节我们便来初步汇总一下远程桌面在内网渗透中的各种利用姿势。文中若有不当之处还请各位大佬多多点评。
内网密码抓取
jjjj1029056414的博客
11-13 1434
主要抓的内网机器hash明文密码这些
AD域渗透 | PTH&PTK哈希传递攻击手法
m0_57221101的博客
04-13 1196
AD域渗透的第二篇,托更一下Kerberos协议的分析文章,等到攻击手法研究明白了,再把协议分析放上来,防止像那些理解不明不白的人写的东西一样祸害人。 发生情况 在高版本的windows server下账号密码不再以明文的方式保存,转而以hash的形式储存,但是假如我们在攻击的时候抓取到了用户hash也可以直接用hash来直接通过验证,模拟用户登录 原理 由于验证原理的问题密码是在本地计算成hash,然后使用hash加密时间戳作为pre-Authention-data来上传,因此如果我们使用自己的脚
mimikatz实战域渗透抓取域控管理员密码
热门推荐
404
02-07 1万+
实验环境: 攻击机:Kali 靶 机:Windows server 2012 工具:mimikatz2.1 这里实验所需要的工具我会上传到我的资源里面,有需要的小伙伴可以自己去下载 条件:靶机获取到shell之后必须是管理员的权限 步骤: **我这里攻击利用的msf里面的regsvr32_applocker_bypass_ser
使用mimikatz的技巧
https://www.cnblogs.com/zpchcbd/
08-03 1056
1、以日志文件生成保存在当前文件夹中log.txt 并且再列出目录 mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit && dir 2、自定义保存在log.txt中 mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpassw...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值