網(wǎng)絡(luò)安全人士必知的Windows系統(tǒng)密碼提取工具Mimikatz
當(dāng)前位置:點晴教程→知識管理交流
→『 技術(shù)文檔交流 』
一、Mimikatz簡介 Mimikatz 是由法國安全研究員 Benjamin Delpy 開發(fā)的一款強大的 Windows 認證信息提取工具。它可以從 Windows 設(shè)備的內(nèi)存中提取明文密碼、哈希值、PIN 碼和 Kerberos 票據(jù),廣泛用于滲透測試和網(wǎng)絡(luò)安全研究。自 2007 年發(fā)布以來,Mimikatz 逐漸成為網(wǎng)絡(luò)攻擊和防御領(lǐng)域的重要工具之一,被紅隊、安全研究員以及攻擊者頻繁使用。 二、Mimikatz 的核心功能Mimikatz 之所以被廣泛應(yīng)用,是因為它具備多個強大的功能,主要包括以下幾類: 1. 讀取明文密碼Mimikatz 通過 sekurlsa::logonpasswords 命令,能夠從 Windows 內(nèi)存中提取當(dāng)前登錄用戶的明文密碼。這是 Mimikatz 最具代表性的功能之一,在 Windows 7 及更早版本的系統(tǒng)上可以直接獲取明文密碼,而在 Windows 8 及以上版本中,微軟增加了保護機制,需要管理員權(quán)限或 SYSTEM 級別權(quán)限來提取數(shù)據(jù)。 2. 讀取 NTLM 哈希(lsadump::sam)NTLM 哈希值是 Windows 用于存儲用戶密碼的一種加密格式。Mimikatz 可以從 SAM(Security Account Manager)數(shù)據(jù)庫中提取這些哈希值,之后攻擊者可以利用 Hashcat 等工具進行離線破解,或者直接利用 Pass-the-Hash(PTH)技術(shù)進行身份冒充。 3. Pass-the-Hash(pth)Pass-the-Hash(PTH)是一種利用 NTLM 哈希進行身份認證的技術(shù),無需明文密碼即可訪問受保護的系統(tǒng)。Mimikatz 通過 sekurlsa::pth 命令,允許攻擊者使用竊取的哈希值直接登錄目標系統(tǒng),從而繞過密碼輸入步驟,獲得權(quán)限訪問。 4. Pass-the-Ticket(Kerberos 票據(jù)傳遞攻擊)Kerberos 認證系統(tǒng)使用票據(jù)(Ticket)進行身份驗證,Mimikatz 允許攻擊者導(dǎo)出、導(dǎo)入或偽造 Kerberos 票據(jù),實現(xiàn)“Pass-the-Ticket”攻擊。攻擊者可以利用 kerberos::list 命令列出當(dāng)前會話的 Kerberos 票據(jù),并使用 kerberos::ptt 命令加載票據(jù),冒充合法用戶訪問系統(tǒng)資源。 5. Golden Ticket(黃金票據(jù)攻擊)Golden Ticket 是 Mimikatz 最具威脅性的功能之一。它允許攻擊者偽造 Kerberos 票據(jù)授予票據(jù)(TGT),以域管理員身份訪問整個域。攻擊者只需要獲取域控(Domain Controller)上的 KRBTGT 賬戶哈希值,就能生成長期有效的票據(jù),幾乎無法被檢測到。 6. Silver Ticket(白銀票據(jù)攻擊)Silver Ticket 與 Golden Ticket 類似,但它針對的是特定的服務(wù),而不是整個域。攻擊者可以偽造 Kerberos 服務(wù)票據(jù)(TGS),直接訪問目標服務(wù)(如 SQL 服務(wù)器、文件共享等),減少被檢測的可能性。 7. Dump LSASS 進程(lsass.exe)Mimikatz 可以通過 sekurlsa::minidump 命令轉(zhuǎn)儲 Windows 認證進程(lsass.exe),然后在離線環(huán)境中分析并提取憑據(jù)信息。這種方法通常用于規(guī)避實時檢測。 三、Mimikatz 的使用方法要使用 Mimikatz,需要先獲得管理員權(quán)限,并在具有 Debug 權(quán)限的情況下運行它。具體的使用步驟如下: 1.下載Mimikatz 登錄Github https://github.com/ParrotSec/mimikatz
Mimikatz在殺軟眼中就是病毒木馬,在做實驗過程中要關(guān)閉殺軟或添加排除項。在實際攻擊過程中,需要做免殺。 2.解壓mimikatz-master.zip
3.以管理員身份運行mimikatz.exe
4.獲取NTML哈希
解密NTLM,可以看出密碼一定要設(shè)置足夠復(fù)雜,或定期更改密碼,防止被破解。
5.其它命令
四、Mimikatz 的防御措施 由于 Mimikatz 主要利用 Windows 認證機制中的漏洞,因此針對 Mimikatz 的防御措施通常集中在加強系統(tǒng)安全配置和監(jiān)測攻擊行為上。 1. 啟用 LSA 保護(Credential Guard)Windows 10 和 Windows Server 2016 及以上版本支持 Credential Guard,可使用虛擬化技術(shù)保護 LSA 進程,防止 Mimikatz 讀取憑據(jù)。啟用方式: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "RunAsPPL" -Value 1 2. 限制高權(quán)限訪問●限制本地管理員權(quán)限,防止攻擊者輕易提升權(quán)限運行 Mimikatz。●禁用 NTLM 認證,強制使用 Kerberos 認證。3. 監(jiān)控 LSASS 進程可以使用 Windows 事件日志(Event ID 4624, 4672, 4688)監(jiān)控異常登錄行為,并結(jié)合 SIEM 進行分析。 4. 定期更改 KRBTGT 賬戶密碼針對 Golden Ticket 攻擊,企業(yè)應(yīng)定期更改 KRBTGT 賬戶密碼,防止長期濫用。 5. 使用 EDR/XDR 進行檢測可以檢測 Mimikatz 的行為模式,及時發(fā)現(xiàn)異常。 五、總結(jié)Mimikatz 是一款強大的密碼提取工具,在網(wǎng)絡(luò)安全攻防中占據(jù)重要地位。它不僅幫助紅隊和滲透測試人員評估 Windows 系統(tǒng)的安全性,也被攻擊者廣泛利用。因此,安全管理員需要深入了解 Mimikatz 的工作原理,并采取適當(dāng)?shù)姆烙胧乐箲{據(jù)泄露和身份冒用。 在當(dāng)前的網(wǎng)絡(luò)環(huán)境下,企業(yè)應(yīng)結(jié)合多層安全防護策略,如啟用 LSA 保護、監(jiān)測 LSASS 進程活動、限制高權(quán)限賬戶使用、使用 EDR/XDR 進行實時防御,才能有效降低 Mimikatz 帶來的風(fēng)險。 閱讀原文:原文鏈接 該文章在 2025/3/24 16:51:04 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
