狠狠色丁香婷婷综合尤物/久久精品综合一区二区三区/中国有色金属学报/国产日韩欧美在线观看 - 国产一区二区三区四区五区tv

一、Mimikatz簡(jiǎn)介

Mimikatz 是由法國(guó)安全研究員 Benjamin Delpy 開(kāi)發(fā)的一款強(qiáng)大的 Windows 認(rèn)證信息提取工具。它可以從 Windows 設(shè)備的內(nèi)存中提取明文密碼、哈希值、PIN 碼和 Kerberos 票據(jù)，廣泛用于滲透測(cè)試和網(wǎng)絡(luò)安全研究。自 2007 年發(fā)布以來(lái)，Mimikatz 逐漸成為網(wǎng)絡(luò)攻擊和防御領(lǐng)域的重要工具之一，被紅隊(duì)、安全研究員以及攻擊者頻繁使用。

二、Mimikatz 的核心功能

Mimikatz 之所以被廣泛應(yīng)用，是因?yàn)樗邆涠鄠€(gè)強(qiáng)大的功能，主要包括以下幾類(lèi)：

1. 讀取明文密碼

Mimikatz 通過(guò) sekurlsa::logonpasswords 命令，能夠從 Windows 內(nèi)存中提取當(dāng)前登錄用戶(hù)的明文密碼。這是 Mimikatz 最具代表性的功能之一，在 Windows 7 及更早版本的系統(tǒng)上可以直接獲取明文密碼，而在 Windows 8 及以上版本中，微軟增加了保護(hù)機(jī)制，需要管理員權(quán)限或 SYSTEM 級(jí)別權(quán)限來(lái)提取數(shù)據(jù)。

2. 讀取 NTLM 哈希（lsadump::sam）

NTLM 哈希值是 Windows 用于存儲(chǔ)用戶(hù)密碼的一種加密格式。Mimikatz 可以從 SAM（Security Account Manager）數(shù)據(jù)庫(kù)中提取這些哈希值，之后攻擊者可以利用 Hashcat 等工具進(jìn)行離線(xiàn)破解，或者直接利用 Pass-the-Hash（PTH）技術(shù)進(jìn)行身份冒充。

3. Pass-the-Hash（pth）

Pass-the-Hash（PTH）是一種利用 NTLM 哈希進(jìn)行身份認(rèn)證的技術(shù)，無(wú)需明文密碼即可訪(fǎng)問(wèn)受保護(hù)的系統(tǒng)。Mimikatz 通過(guò) sekurlsa::pth 命令，允許攻擊者使用竊取的哈希值直接登錄目標(biāo)系統(tǒng)，從而繞過(guò)密碼輸入步驟，獲得權(quán)限訪(fǎng)問(wèn)。

4. Pass-the-Ticket（Kerberos 票據(jù)傳遞攻擊）

Kerberos 認(rèn)證系統(tǒng)使用票據(jù)（Ticket）進(jìn)行身份驗(yàn)證，Mimikatz 允許攻擊者導(dǎo)出、導(dǎo)入或偽造 Kerberos 票據(jù)，實(shí)現(xiàn)“Pass-the-Ticket”攻擊。攻擊者可以利用 kerberos::list 命令列出當(dāng)前會(huì)話(huà)的 Kerberos 票據(jù)，并使用 kerberos::ptt 命令加載票據(jù)，冒充合法用戶(hù)訪(fǎng)問(wèn)系統(tǒng)資源。

5. Golden Ticket（黃金票據(jù)攻擊）

Golden Ticket 是 Mimikatz 最具威脅性的功能之一。它允許攻擊者偽造 Kerberos 票據(jù)授予票據(jù)（TGT），以域管理員身份訪(fǎng)問(wèn)整個(gè)域。攻擊者只需要獲取域控（Domain Controller）上的 KRBTGT 賬戶(hù)哈希值，就能生成長(zhǎng)期有效的票據(jù)，幾乎無(wú)法被檢測(cè)到。

6. Silver Ticket（白銀票據(jù)攻擊）

Silver Ticket 與 Golden Ticket 類(lèi)似，但它針對(duì)的是特定的服務(wù)，而不是整個(gè)域。攻擊者可以偽造 Kerberos 服務(wù)票據(jù)（TGS），直接訪(fǎng)問(wèn)目標(biāo)服務(wù)（如 SQL 服務(wù)器、文件共享等），減少被檢測(cè)的可能性。

7. Dump LSASS 進(jìn)程（lsass.exe）

Mimikatz 可以通過(guò) sekurlsa::minidump 命令轉(zhuǎn)儲(chǔ) Windows 認(rèn)證進(jìn)程（lsass.exe），然后在離線(xiàn)環(huán)境中分析并提取憑據(jù)信息。這種方法通常用于規(guī)避實(shí)時(shí)檢測(cè)。

三、Mimikatz 的使用方法

要使用 Mimikatz，需要先獲得管理員權(quán)限，并在具有 Debug 權(quán)限的情況下運(yùn)行它。具體的使用步驟如下：

1.下載Mimikatz

登錄Github

https://github.com/ParrotSec/mimikatz

Mimikatz在殺軟眼中就是病毒木馬，在做實(shí)驗(yàn)過(guò)程中要關(guān)閉殺軟或添加排除項(xiàng)。在實(shí)際攻擊過(guò)程中，需要做免殺。

2.解壓mimikatz-master.zip

3.以管理員身份運(yùn)行mimikatz.exe

4.獲取NTML哈希

從內(nèi)存中讀取輸入privilege::debug輸入sekurlsa::logonpasswords

解密NTLM，可以看出密碼一定要設(shè)置足夠復(fù)雜，或定期更改密碼，防止被破解。

也可以從SAM數(shù)據(jù)庫(kù)中讀取輸入privilege::debug輸入token::elevate輸入lsadump::sam

5.其它命令

Pass-the-Hash 攻擊sekurlsa::pth /user:Administrator /domain:target.local /ntlm:<NTLM HASH>獲取 Kerberos 票據(jù)kerberos::list使用黃金票據(jù)kerberos::golden /user:Administrator /domain:target.local /sid:S-1-5-21-xxxx /krbtgt:<KRBTGT HASH>

四、Mimikatz 的防御措施

由于 Mimikatz 主要利用 Windows 認(rèn)證機(jī)制中的漏洞，因此針對(duì) Mimikatz 的防御措施通常集中在加強(qiáng)系統(tǒng)安全配置和監(jiān)測(cè)攻擊行為上。

1. 啟用 LSA 保護(hù)（Credential Guard）

Windows 10 和 Windows Server 2016 及以上版本支持 Credential Guard，可使用虛擬化技術(shù)保護(hù) LSA 進(jìn)程，防止 Mimikatz 讀取憑據(jù)。啟用方式：

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "RunAsPPL" -Value 1

2. 限制高權(quán)限訪(fǎng)問(wèn)

●限制本地管理員權(quán)限，防止攻擊者輕易提升權(quán)限運(yùn)行 Mimikatz。

●禁用 NTLM 認(rèn)證，強(qiáng)制使用 Kerberos 認(rèn)證。

3. 監(jiān)控 LSASS 進(jìn)程

可以使用 Windows 事件日志（Event ID 4624, 4672, 4688）監(jiān)控異常登錄行為，并結(jié)合 SIEM 進(jìn)行分析。

4. 定期更改 KRBTGT 賬戶(hù)密碼

針對(duì) Golden Ticket 攻擊，企業(yè)應(yīng)定期更改 KRBTGT 賬戶(hù)密碼，防止長(zhǎng)期濫用。

5. 使用 EDR/XDR 進(jìn)行檢測(cè)

可以檢測(cè) Mimikatz 的行為模式，及時(shí)發(fā)現(xiàn)異常。

五、總結(jié)

Mimikatz 是一款強(qiáng)大的密碼提取工具，在網(wǎng)絡(luò)安全攻防中占據(jù)重要地位。它不僅幫助紅隊(duì)和滲透測(cè)試人員評(píng)估 Windows 系統(tǒng)的安全性，也被攻擊者廣泛利用。因此，安全管理員需要深入了解 Mimikatz 的工作原理，并采取適當(dāng)?shù)姆烙胧乐箲{據(jù)泄露和身份冒用。

在當(dāng)前的網(wǎng)絡(luò)環(huán)境下，企業(yè)應(yīng)結(jié)合多層安全防護(hù)策略，如啟用 LSA 保護(hù)、監(jiān)測(cè) LSASS 進(jìn)程活動(dòng)、限制高權(quán)限賬戶(hù)使用、使用 EDR/XDR 進(jìn)行實(shí)時(shí)防御，才能有效降低 Mimikatz 帶來(lái)的風(fēng)險(xiǎn)。

閱讀原文：原文鏈接