Einführung

Mimikatz ist ein leistungsfähiges Tool zum Extrahieren von Kennwörtern, Hashes, PIN-Codes und Kerberos-Tickets aus dem Speicher im Klartext. Es wird häufig von Penetrationstestern und Sicherheitsexperten verwendet, um Systemschwachstellen zu bewerten. Dieser Leitfaden enthält eine schrittweise Anleitung zur Installation und Verwendung von Mimikatz für ethische Sicherheitstests.

Warnung: Die nicht autorisierte Verwendung von Mimikatz ist illegal. Vergewissern Sie sich, dass Sie eine ausdrückliche Erlaubnis haben, bevor Sie es in einer beliebigen Umgebung verwenden.

Voraussetzungen

Stellen Sie vor der Installation von Mimikatz sicher, dass Sie über die folgenden Voraussetzungen verfügen:

  • Einen Windows-Rechner (Windows 7, 10, 11 oder Server)

  • Administrator-Rechte

  • Deaktivierung von Windows Defender und jeglicher Antiviren-Software (Mimikatz wird oft als Malware erkannt)

Herunterladen von Mimikatz

Mimikatz ist ein Open-Source-Tool, das auf GitHub verfügbar ist. So laden Sie es herunter:

  1. Öffnen Sie Ihren Webbrowser und gehen Sie zu
    https://github.com/gentilkiwi/mimikatz

  2. Klicken Sie auf Code > ZIP herunterladen.

  3. Entpacken Sie die ZIP-Datei in ein Verzeichnis Ihrer Wahl.

Sie können das Repository auch mit Git klonen:

git clone https://github.com/gentilkiwi/mimikatz.git

Mimikatz ausführen

Da Mimikatz Administratorrechte erfordert, gehen Sie wie folgt vor:

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Navigieren Sie zu dem Ordner, in den Sie Mimikatz extrahiert haben:

    cd pathtomimikatzx64

  3. Starten Sie Mimikatz:

    mimikatz.exe

Sie sollten nun die Kommandozeilenschnittstelle mit der Eingabeaufforderung sehen:
mimikatz #

Grundlegende Mimikatz-Befehle

1. Systemprivilegien prüfen

Überprüfen Sie vor dem Extrahieren der Anmeldeinformationen, ob Sie über ausreichende Berechtigungen verfügen:

privilege::debug

Wenn Sie erfolgreich sind, sollten Sie sehen:
Privileg ’20’ OK

Passwörter aus dem Speicher extrahieren

Um im Speicher gespeicherte Passwörter zu extrahieren, verwenden Sie:

sekurlsa::logonpasswords

Dies zeigt Benutzernamen, Domänen und Klartext-Passwörter an, falls vorhanden.

NTLM-Hashes ausgeben

NTLM-Hashes können für Pass-the-Hash-Angriffe verwendet werden. Um sie zu extrahieren:

lsadump::sam

Oder für entfernte Systeme:

lsadump::dcsync /domain:targetdomain.com /user:Administrator

Kerberos-Tickets auslesen

Um Kerberos-Tickets aus dem System zu extrahieren:

sekurlsa::tickets /export

Dies exportiert .kirbi Dateien, die für Pass-the-Ticket-Angriffe verwendet werden können.

Pass-the-Hash-Angriff

Zur Authentifizierung mit einem NTLM-Hash anstelle eines Passworts:

sekurlsa::pth /user:Administrator /domain:example.com /ntlm:<hash>

Schlussfolgerung

Mimikatz ist nach wie vor eines der leistungsfähigsten Tools zur Bewertung der Sicherheit von Windows-Systemen, da es Passwörter, Hashes und Kerberos-Tickets direkt aus dem Speicher extrahieren kann. Bei verantwortungsbewusster und ethischer Verwendung hilft es Fachleuten, Schwachstellen zu erkennen, die Konfiguration der Domäneninfrastruktur zu überprüfen und die allgemeine Sicherheitslage eines Unternehmens zu verbessern. Es ist jedoch wichtig, sich daran zu erinnern, dass Tools wie Mimikatz nur mit offizieller Genehmigung und in kontrollierten Umgebungen verwendet werden dürfen, da die unbefugte Verwendung gegen das Gesetz verstößt und schwerwiegende Konsequenzen nach sich ziehen kann.