背景
今天老大問我拿到内網一台機器,怎麼知道使用者密碼。我自然不會,老大就讓我了解Mimikatz這個工具。于是學習到這個直接讀取遠端伺服器的密碼的工具mimikatz
Mimikatz
mimikatz是法國人Gentil Kiwi編寫的一款windows平台下的神器,這是我除了zywoo知道的第二個法國人了。它具備很多功能,其中最亮的功能是直接從lsass.exe 程序裡擷取windows處于active狀态賬号的明文密碼。mimikatz的功能不僅如此,它還可以提升程序權限,注入程序,讀取程序記憶體等等,mimikatz包含了很多本地子產品,更像是一個輕量級的調試器,其強大的功能還有待挖掘。因為水準緣故,我目前隻了解到擷取windows明文密碼這一功能。
原理
擷取到記憶體檔案lsass.exe程序(它用于本地安全和登陸政策)中存儲的明文登入密碼
在 KB2871997 之前, Mimikatz 可以直接抓取明文密碼。當伺服器安裝 KB2871997 更新檔後,系統預設禁用 Wdigest Auth ,内(lsass程序)不再儲存明文密碼。Mimikatz 将讀不到密碼明文。但由于一些系統服務需要用到 Wdigest Auth,是以該選項是可以手動開啟的。(開啟後,需要使用者重新登入才能生效)。
一下是支援的系統。
- Windows 7
- Windows 8
- Windows 8.1
- Windows Server 2008
- Windows Server 2012
- Windows Server 2012R 2
利用前提:拿到了admin權限的cmd,管理者用密碼登入機器,并運作了lsass.exe程序,把密碼儲存在記憶體檔案lsass程序中。
抓取明文:手工修改系統資料庫 + 強制鎖屏 + 等待目标系統管理者重新登入 = 截取明文密碼
實作過程:
安裝 mimikatz_trunk
以管理者運作cmd:
指令如下:
privilege::debug
sekurlsa::logonpasswords
注意:在對目标攻擊時,對方有安全軟體時可以先安裝procdump64.exe,擷取到 lsass.dmp 檔案,然後在自己的環境下運作mimikatz這樣就擷取到目标密碼。
安裝procdump64.exe
這是微軟自己的工具是以不會存在任何異常是以放心使用
指令如下:
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
擷取到 lsass.dmp檔案後可以用
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit
來擷取明文密碼,最後的exit是運作完成之後停止,不然會一直運作下去
進階
Windows8.1以上版本或打過KB2871997更新檔的機器,lsass中不會存儲密碼,如果想抓取密碼,可以将系統資料庫HKLM(HKEY LOCAL MACHINE)\SYSTEM\CurrentControlSet\Control\securityProviders\Wdigest下的UseLogonCredential設定為1,類型為DWORD32
可以使用指令:
Reg add HKLM\SYSTEM\CurrentControlSet\Control\securityProviders Wdigest/v UselogonCredential/t REG_DWORD /d1
本文借鑒部落格有:
https://www.cnblogs.com/Scholar-liu/p/11379950.html
拓展:
Mimikatz繞過安全軟體:https://www.freebuf.com/articles/web/176796.html
http://www.hackdig.com/07/hack-55560.htm
![BurpSuite導入證書[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)