mimikatz的一些实战小技巧

admin 2022年11月8日23:01:51安全文章评论12 views1848字阅读6分9秒阅读模式

mimikatz的一些实战小技巧


前言

最近在一些环境中使用mimikatz读取密码出现了些问题,简单记录下。

问题分类

1、权限

mimikatz的一些实战小技巧

这种情况就属于权限不到位,虽然是管理员权限但是需要右键管理员权限启动cmd

mimikatz的一些实战小技巧

权限到位就没问题。

mimikatz的一些实战小技巧

2、 LSA 保护 (RunAsPPL)

在 Windows 上防止凭据盗窃时,启用 LSA 保护应该是最简单的方式,配置起来简单又方便只需要在注册表中添加个一个值然后重新启动下即可。

启用 LSA 保护 (RunAsPPL):

(1)
打开注册表编辑器:regedit.exe。 
(2)
打开"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa"。 
(3)
添加DWORD值RunAsPPL并将其设置为1并且重启。
mimikatz的一些实战小技巧

现在你已经成功开启了LAS保护,mimikatz已经不能读取凭证信息。

mimikatz的一些实战小技巧

mimikatzprivilege::debug中的命令成功启用;SeDebugPrivilege,但是命令sekurlsa::logonpasswords失败并出现错误代码0x00000005。要想知道错误代码0x00000005的原因我们可以去查看源码。

HANDLE hData = NULL;DWORD pid;DWORD processRights = PROCESS_VM_READ | PROCESS_QUERY_INFORMATION;
kull_m_process_getProcessIdForName(L"lsass.exe", &pid);hData = OpenProcess(processRights, FALSE, pid);
if (hData && hData != INVALID_HANDLE_VALUE) { // if OpenProcess OK} else { PRINT_ERROR_AUTO(L"Handle on memory");}

这段代码中它首先获取被调用进程的 PID,lsass.exe然后尝试使用标志和调用Win32函数来打开它(即获取进程句柄),现在他的访问被拒绝了所以我们的LSA保护成功打开了,成功阻止mimikatz读取凭证。

绕过 RunAsPPL:

1、mimikatz驱动程序 它可以阻止mimikatz,然而mimikatz也可以通过自身工具进行绕过,使用数字签名的驱动程序来删除内核中 Process 对象的保护标志,但是需要文件mimidrv.sys必须位于当前文件夹中。 

(1)、文件mimidrv.sys必须位于当前文件夹中。

mimikatz的一些实战小技巧

(2)、

 !+ !processprotect /process:lsass.exe /remove privilege::debug sekurlsa::logonpasswords
mimikatz的一些实战小技巧

成功读取凭证。2、SAM HKLMSAM:包含用户密码的NTLMv2哈希值 HKLMsecurity:包含缓存的域记录LSA secrets/LSA密钥 HKLMsystem-aka SYSKEY:包含可用于加密LSA secret和SAM数据库的密钥 SAM(安全账户管理器),SAM用来存储Windows操作系统密码的数据库文件,为了避免明文密码泄露,SAM文件中保存的是明文密码经过一系列算法处理过的Hash值。mimikatz 运行 lsadump :: sam 从磁盘上的SAM读取凭据,可成功pypass LSA Protection。

 privilege::debug token::whoami token::elevate lsadump::sam
mimikatz的一些实战小技巧

成果读取。

2、 特殊情况

没有LSA保护也不是权限问题。

mimikatz的一些实战小技巧

报错key import 解决起来也很简单直接用老版本mimikatz(2.1.1)就可以了,至于原因暂时不清楚。

mimikatz的一些实战小技巧

简单记录下几个简单的问题,主要是怕忘。

mimikatz的一些实战小技巧

E

N

D



Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室,近三年来在网络安全技术方面开展研发项目60余项,获得各类自主知识产权30余项,省市级科技项目立项20余项,研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。对安全感兴趣的小伙伴可以加入或关注我们。

mimikatz的一些实战小技巧

原文始发于微信公众号(Tide安全团队):mimikatz的一些实战小技巧

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月8日23:01:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  mimikatz的一些实战小技巧 http://cn-sec.com/archives/1398688.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: