はじめに

Mimikatzは、パスワード、ハッシュ、PINコード、Kerberosチケットをメモリから平文で抽出するように設計された強力なツールである。システムの脆弱性を評価するために、侵入テスト担当者やセキュリティ専門家によって広く使われています。このガイドでは、倫理的セキュリティテストのために Mimikatz をインストールし、使用するためのステップ・バイ・ステップのアプローチを提供します。

警告Mimikatzの不正使用は違法です。どのような環境でも、使用する前に明確な許可を得てください。

前提条件

Mimikatzをインストールする前に、以下の環境が整っていることを確認してください:

  • Windowsマシン(Windows 7、10、11、またはServer)

  • 管理者権限

  • Windows Defenderおよびウイルス対策ソフトが無効になっていること(Mimikatzはマルウェアとして検出されることがよくあります)

Mimikatzのダウンロード

MimikatzはGitHubで公開されているオープンソースのツールです。ダウンロードするには

  1. ウェブブラウザを開き
    https://github.com/gentilkiwi/mimikatz

  2. Code > Download ZIPをクリック。

  3. ZIPファイルを好きなディレクトリに解凍する。

Gitを使ってリポジトリをクローンすることもできます:

###atp_notr_1_code_tag_notr_atp##を使用してリポジトリをクローンすることもできます。

Mimikatzの実行

Mimikatz を実行するには管理者権限が必要なので、以下の手順に従ってください:

  1. コマンドプロンプトまたはPowerShellを管理者として開く。

  2. Mimikatz を解凍したフォルダに移動します:

    ###atp_notr_2_code_tag_notr_atp##に移動します。

  3. Mimikatzを起動します:

    Mimikatzを起動する: ###atp_notr_3_code_tag_notr_atp###

プロンプトが表示され、コマンドラインインターフェイスが表示されます:
###というプロンプトが表示されます。

Mimikatzの基本コマンド

1.システム特権の確認

認証情報を抽出する前に、十分な権限があることを確認します:

###以下のように表示されます。

成功すると、次のように表示されます:
特権 ’20’ OK

メモリからパスワードを抽出する

メモリに保存されているパスワードを抽出するには、以下を使用する:

を使用する。###atp_notr_6_code_tag_notr_atp###

これにより、ユーザ名、ドメイン、平文のパスワードが表示される。

NTLM ハッシュのダンプ

NTLM ハッシュはパスザハッシュ攻撃に用いられる可能性がある。これを抽出する:

###ハッシュを抽出するには、以下のコマンドを実行する。

またはリモートシステムの場合

またはリモートシステムの場合: ###atp_notr_8_code_tag_notr_atp###

Kerberosチケットのダンプ

システムから Kerberos チケットを抽出します:

システムから Kerberos チケットを抽出するには、###atp_notr_9_code_tag_notr_atp### を実行します。

これは .kirbi ファイルをエクスポートし、パスザチケット攻撃に使用できます。

パスザハッシュ攻撃

パスワードの代わりに NTLM ハッシュを用いて認証を行なう:

パスワードの代わりに NTLM ハッシュを使用して認証する場合: sekurlsa::pth /user:Administrator /domain:example.com /ntlm:<hash>
#

結論

Mimikatz は、パスワード、ハッシュ、Kerberos チケットをメモリから直接抽出できるため、Windows システムのセキュリティを評価するための最も強力なツールの一つである。責任を持って倫理的に使用すれば、専門家が脆弱性を特定し、ドメインインフラストラクチャの設定を検証し、組織の全体的なセキュリティ体制を強化するのに役立つ。しかし、Mimikatzのようなツールは、不正使用は法律に違反し、深刻な結果につながる可能性があるため、正式な承認を得て、管理された環境でのみ使用しなければならないことを忘れてはならない。