Introduzione

Mimikatz è un potente strumento progettato per estrarre dalla memoria password, hash, codici PIN e ticket Kerberos in chiaro. È ampiamente utilizzato dai penetration tester e dai professionisti della sicurezza per valutare le vulnerabilità dei sistemi. Questa guida fornisce un approccio passo dopo passo all’installazione e all’utilizzo di Mimikatz per i test etici di sicurezza.

Attenzione: L’uso non autorizzato di Mimikatz è illegale. Assicuratevi di avere un’autorizzazione esplicita prima di utilizzarlo in qualsiasi ambiente.

Prerequisiti

Prima di installare Mimikatz, assicuratevi di disporre di quanto segue:

  • Un computer Windows (Windows 7, 10, 11 o Server)

  • Privilegi di amministratore

  • Windows Defender e qualsiasi altro software antivirus disattivato (Mimikatz viene spesso segnalato come malware)

Scaricare Mimikatz

Mimikatz è uno strumento open-source disponibile su GitHub. Per scaricarlo:

  1. Aprite il vostro browser web e andate su
    https://github.com/gentilkiwi/mimikatz

  2. Fare clic su Codice > Scarica ZIP.

  3. Estrarre il file ZIP in una directory a scelta.

È anche possibile clonare il repository usando Git:

git clone https://github.com/gentilkiwi/mimikatz.git

Esecuzione di Mimikatz

Poiché Mimikatz richiede i privilegi di amministratore, seguite questi passaggi:

  1. Aprire il Prompt dei comandi o PowerShell come amministratore.

  2. Navigare nella cartella in cui è stato estratto Mimikatz:

    cd pathtomimikatzx64

  3. Avviare Mimikatz:

    ##ATP_NOTR_3_CODE_TAG_NOTR_ATP###

A questo punto dovrebbe apparire l’interfaccia a riga di comando con il prompt:
##ATP_NOTR_4_CODE_TAG_NOTR_ATP###

Comandi di base di Mimikatz

1. Controllare i privilegi del sistema

Prima di estrarre le credenziali, verificare di avere privilegi sufficienti:

##ATP_NOTR_5_CODE_TAG_NOTR_ATP###

In caso di esito positivo, si dovrebbe vedere:
Privilegio ’20’ OK

Estrarre le password dalla memoria

Per estrarre le password memorizzate, utilizzare:

sekurlsa::logonpasswords

Questo visualizzerà nomi utente, domini e password in chiaro, se disponibili.

Scaricare gli hash NTLM

Gli hash NTLM possono essere usati per attacchi pass-the-hash. Per estrarli:

lsadump::sam

O per i sistemi remoti:

##ATP_NOTR_8_CODE_TAG_NOTR_ATP###

Estrarre i biglietti Kerberos

Per estrarre i ticket Kerberos dal sistema:

##ATP_NOTR_9_CODE_TAG_NOTR_ATP###

Questo esporta i file ##ATP_NOTR_10_CODE_TAG_NOTR_ATP##, che possono essere usati negli attacchi pass-the-ticket.

Attacco Pass-the-Hash

Per autenticarsi usando un hash NTLM invece di una password:

##ATP_NOTR_11_CODE_TAG_NOTR_ATP###

Conclusioni

Mimikatz rimane uno degli strumenti più potenti per valutare la sicurezza dei sistemi Windows grazie alla sua capacità di estrarre password, hash e ticket Kerberos direttamente dalla memoria. Se usato in modo responsabile ed etico, aiuta i professionisti a identificare le vulnerabilità, a verificare le configurazioni dell’infrastruttura di dominio e a migliorare la sicurezza generale di un’organizzazione. Tuttavia, è fondamentale ricordare che strumenti come Mimikatz devono essere utilizzati solo con autorizzazione ufficiale e in ambienti controllati, poiché l’uso non autorizzato viola la legge e può portare a gravi conseguenze.