欧美成人精品手机在线观看_69视频国产_动漫精品第一页_日韩中文字幕网 - 日本欧美一区二区

一、Mimikatz簡介

Mimikatz 是由法國安全研究員 Benjamin Delpy 開發的一款強大的 Windows 認證信息提取工具。它可以從 Windows 設備的內存中提取明文密碼、哈希值、PIN 碼和 Kerberos 票據，廣泛用于滲透測試和網絡安全研究。自 2007 年發布以來，Mimikatz 逐漸成為網絡攻擊和防御領域的重要工具之一，被紅隊、安全研究員以及攻擊者頻繁使用。

二、Mimikatz 的核心功能

Mimikatz 之所以被廣泛應用，是因為它具備多個強大的功能，主要包括以下幾類：

1. 讀取明文密碼

Mimikatz 通過 sekurlsa::logonpasswords 命令，能夠從 Windows 內存中提取當前登錄用戶的明文密碼。這是 Mimikatz 最具代表性的功能之一，在 Windows 7 及更早版本的系統上可以直接獲取明文密碼，而在 Windows 8 及以上版本中，微軟增加了保護機制，需要管理員權限或 SYSTEM 級別權限來提取數據。

2. 讀取 NTLM 哈希（lsadump::sam）

NTLM 哈希值是 Windows 用于存儲用戶密碼的一種加密格式。Mimikatz 可以從 SAM（Security Account Manager）數據庫中提取這些哈希值，之后攻擊者可以利用 Hashcat 等工具進行離線破解，或者直接利用 Pass-the-Hash（PTH）技術進行身份冒充。

3. Pass-the-Hash（pth）

Pass-the-Hash（PTH）是一種利用 NTLM 哈希進行身份認證的技術，無需明文密碼即可訪問受保護的系統。Mimikatz 通過 sekurlsa::pth 命令，允許攻擊者使用竊取的哈希值直接登錄目標系統，從而繞過密碼輸入步驟，獲得權限訪問。

4. Pass-the-Ticket（Kerberos 票據傳遞攻擊）

Kerberos 認證系統使用票據（Ticket）進行身份驗證，Mimikatz 允許攻擊者導出、導入或偽造 Kerberos 票據，實現“Pass-the-Ticket”攻擊。攻擊者可以利用 kerberos::list 命令列出當前會話的 Kerberos 票據，并使用 kerberos::ptt 命令加載票據，冒充合法用戶訪問系統資源。

5. Golden Ticket（黃金票據攻擊）

Golden Ticket 是 Mimikatz 最具威脅性的功能之一。它允許攻擊者偽造 Kerberos 票據授予票據（TGT），以域管理員身份訪問整個域。攻擊者只需要獲取域控（Domain Controller）上的 KRBTGT 賬戶哈希值，就能生成長期有效的票據，幾乎無法被檢測到。

6. Silver Ticket（白銀票據攻擊）

Silver Ticket 與 Golden Ticket 類似，但它針對的是特定的服務，而不是整個域。攻擊者可以偽造 Kerberos 服務票據（TGS），直接訪問目標服務（如 SQL 服務器、文件共享等），減少被檢測的可能性。

7. Dump LSASS 進程（lsass.exe）

Mimikatz 可以通過 sekurlsa::minidump 命令轉儲 Windows 認證進程（lsass.exe），然后在離線環境中分析并提取憑據信息。這種方法通常用于規避實時檢測。

三、Mimikatz 的使用方法

要使用 Mimikatz，需要先獲得管理員權限，并在具有 Debug 權限的情況下運行它。具體的使用步驟如下：

1.下載Mimikatz

登錄Github

https://github.com/ParrotSec/mimikatz

Mimikatz在殺軟眼中就是病毒木馬，在做實驗過程中要關閉殺軟或添加排除項。在實際攻擊過程中，需要做免殺。

2.解壓mimikatz-master.zip

3.以管理員身份運行mimikatz.exe

4.獲取NTML哈希

從內存中讀取輸入privilege::debug輸入sekurlsa::logonpasswords

解密NTLM，可以看出密碼一定要設置足夠復雜，或定期更改密碼，防止被破解。

也可以從SAM數據庫中讀取輸入privilege::debug輸入token::elevate輸入lsadump::sam

5.其它命令

Pass-the-Hash 攻擊sekurlsa::pth /user:Administrator /domain:target.local /ntlm:<NTLM HASH>獲取 Kerberos 票據kerberos::list使用黃金票據kerberos::golden /user:Administrator /domain:target.local /sid:S-1-5-21-xxxx /krbtgt:<KRBTGT HASH>

四、Mimikatz 的防御措施

由于 Mimikatz 主要利用 Windows 認證機制中的漏洞，因此針對 Mimikatz 的防御措施通常集中在加強系統安全配置和監測攻擊行為上。

1. 啟用 LSA 保護（Credential Guard）

Windows 10 和 Windows Server 2016 及以上版本支持 Credential Guard，可使用虛擬化技術保護 LSA 進程，防止 Mimikatz 讀取憑據。啟用方式：

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "RunAsPPL" -Value 1

2. 限制高權限訪問

●限制本地管理員權限，防止攻擊者輕易提升權限運行 Mimikatz。

●禁用 NTLM 認證，強制使用 Kerberos 認證。

3. 監控 LSASS 進程

可以使用 Windows 事件日志（Event ID 4624, 4672, 4688）監控異常登錄行為，并結合 SIEM 進行分析。

4. 定期更改 KRBTGT 賬戶密碼

針對 Golden Ticket 攻擊，企業應定期更改 KRBTGT 賬戶密碼，防止長期濫用。

5. 使用 EDR/XDR 進行檢測

可以檢測 Mimikatz 的行為模式，及時發現異常。

五、總結

Mimikatz 是一款強大的密碼提取工具，在網絡安全攻防中占據重要地位。它不僅幫助紅隊和滲透測試人員評估 Windows 系統的安全性，也被攻擊者廣泛利用。因此，安全管理員需要深入了解 Mimikatz 的工作原理，并采取適當的防御措施，防止憑據泄露和身份冒用。

在當前的網絡環境下，企業應結合多層安全防護策略，如啟用 LSA 保護、監測 LSASS 進程活動、限制高權限賬戶使用、使用 EDR/XDR 進行實時防御，才能有效降低 Mimikatz 帶來的風險。

閱讀原文：原文鏈接