公交车上荫蒂添的好舒服的电影-公用玩物(np双xing总受)-公用小荡货芊芊-公与妇仑乱hd-攻把受做哭边走边肉楼梯play-古装一级淫片a免费播放口

一、Mimikatz簡介

Mimikatz 是由法國安全研究員 Benjamin Delpy 開發(fā)的一款強大的 Windows 認(rèn)證信息提取工具。它可以從 Windows 設(shè)備的內(nèi)存中提取明文密碼、哈希值、PIN 碼和 Kerberos 票據(jù)，廣泛用于滲透測試和網(wǎng)絡(luò)安全研究。自 2007 年發(fā)布以來，Mimikatz 逐漸成為網(wǎng)絡(luò)攻擊和防御領(lǐng)域的重要工具之一，被紅隊、安全研究員以及攻擊者頻繁使用。

二、Mimikatz 的核心功能

Mimikatz 之所以被廣泛應(yīng)用，是因為它具備多個強大的功能，主要包括以下幾類：

1. 讀取明文密碼

Mimikatz 通過 sekurlsa::logonpasswords 命令，能夠從 Windows 內(nèi)存中提取當(dāng)前登錄用戶的明文密碼。這是 Mimikatz 最具代表性的功能之一，在 Windows 7 及更早版本的系統(tǒng)上可以直接獲取明文密碼，而在 Windows 8 及以上版本中，微軟增加了保護機制，需要管理員權(quán)限或 SYSTEM 級別權(quán)限來提取數(shù)據(jù)。

2. 讀取 NTLM 哈希（lsadump::sam）

NTLM 哈希值是 Windows 用于存儲用戶密碼的一種加密格式。Mimikatz 可以從 SAM（Security Account Manager）數(shù)據(jù)庫中提取這些哈希值，之后攻擊者可以利用 Hashcat 等工具進行離線破解，或者直接利用 Pass-the-Hash（PTH）技術(shù)進行身份冒充。

3. Pass-the-Hash（pth）

Pass-the-Hash（PTH）是一種利用 NTLM 哈希進行身份認(rèn)證的技術(shù)，無需明文密碼即可訪問受保護的系統(tǒng)。Mimikatz 通過 sekurlsa::pth 命令，允許攻擊者使用竊取的哈希值直接登錄目標(biāo)系統(tǒng)，從而繞過密碼輸入步驟，獲得權(quán)限訪問。

4. Pass-the-Ticket（Kerberos 票據(jù)傳遞攻擊）

Kerberos 認(rèn)證系統(tǒng)使用票據(jù)（Ticket）進行身份驗證，Mimikatz 允許攻擊者導(dǎo)出、導(dǎo)入或偽造 Kerberos 票據(jù)，實現(xiàn)“Pass-the-Ticket”攻擊。攻擊者可以利用 kerberos::list 命令列出當(dāng)前會話的 Kerberos 票據(jù)，并使用 kerberos::ptt 命令加載票據(jù)，冒充合法用戶訪問系統(tǒng)資源。

5. Golden Ticket（黃金票據(jù)攻擊）

Golden Ticket 是 Mimikatz 最具威脅性的功能之一。它允許攻擊者偽造 Kerberos 票據(jù)授予票據(jù)（TGT），以域管理員身份訪問整個域。攻擊者只需要獲取域控（Domain Controller）上的 KRBTGT 賬戶哈希值，就能生成長期有效的票據(jù)，幾乎無法被檢測到。

6. Silver Ticket（白銀票據(jù)攻擊）

Silver Ticket 與 Golden Ticket 類似，但它針對的是特定的服務(wù)，而不是整個域。攻擊者可以偽造 Kerberos 服務(wù)票據(jù)（TGS），直接訪問目標(biāo)服務(wù)（如 SQL 服務(wù)器、文件共享等），減少被檢測的可能性。

7. Dump LSASS 進程（lsass.exe）

Mimikatz 可以通過 sekurlsa::minidump 命令轉(zhuǎn)儲 Windows 認(rèn)證進程（lsass.exe），然后在離線環(huán)境中分析并提取憑據(jù)信息。這種方法通常用于規(guī)避實時檢測。

三、Mimikatz 的使用方法

要使用 Mimikatz，需要先獲得管理員權(quán)限，并在具有 Debug 權(quán)限的情況下運行它。具體的使用步驟如下：

1.下載Mimikatz

登錄Github

https://github.com/ParrotSec/mimikatz

Mimikatz在殺軟眼中就是病毒木馬，在做實驗過程中要關(guān)閉殺軟或添加排除項。在實際攻擊過程中，需要做免殺。

2.解壓mimikatz-master.zip

3.以管理員身份運行mimikatz.exe

4.獲取NTML哈希

從內(nèi)存中讀取輸入privilege::debug輸入sekurlsa::logonpasswords

解密NTLM，可以看出密碼一定要設(shè)置足夠復(fù)雜，或定期更改密碼，防止被破解。

也可以從SAM數(shù)據(jù)庫中讀取輸入privilege::debug輸入token::elevate輸入lsadump::sam

5.其它命令

Pass-the-Hash 攻擊sekurlsa::pth /user:Administrator /domain:target.local /ntlm:<NTLM HASH>獲取 Kerberos 票據(jù)kerberos::list使用黃金票據(jù)kerberos::golden /user:Administrator /domain:target.local /sid:S-1-5-21-xxxx /krbtgt:<KRBTGT HASH>

四、Mimikatz 的防御措施

由于 Mimikatz 主要利用 Windows 認(rèn)證機制中的漏洞，因此針對 Mimikatz 的防御措施通常集中在加強系統(tǒng)安全配置和監(jiān)測攻擊行為上。

1. 啟用 LSA 保護（Credential Guard）

Windows 10 和 Windows Server 2016 及以上版本支持 Credential Guard，可使用虛擬化技術(shù)保護 LSA 進程，防止 Mimikatz 讀取憑據(jù)。啟用方式：

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "RunAsPPL" -Value 1

2. 限制高權(quán)限訪問

●限制本地管理員權(quán)限，防止攻擊者輕易提升權(quán)限運行 Mimikatz。

●禁用 NTLM 認(rèn)證，強制使用 Kerberos 認(rèn)證。

3. 監(jiān)控 LSASS 進程

可以使用 Windows 事件日志（Event ID 4624, 4672, 4688）監(jiān)控異常登錄行為，并結(jié)合 SIEM 進行分析。

4. 定期更改 KRBTGT 賬戶密碼

針對 Golden Ticket 攻擊，企業(yè)應(yīng)定期更改 KRBTGT 賬戶密碼，防止長期濫用。

5. 使用 EDR/XDR 進行檢測

可以檢測 Mimikatz 的行為模式，及時發(fā)現(xiàn)異常。

五、總結(jié)

Mimikatz 是一款強大的密碼提取工具，在網(wǎng)絡(luò)安全攻防中占據(jù)重要地位。它不僅幫助紅隊和滲透測試人員評估 Windows 系統(tǒng)的安全性，也被攻擊者廣泛利用。因此，安全管理員需要深入了解 Mimikatz 的工作原理，并采取適當(dāng)?shù)姆烙胧乐箲{據(jù)泄露和身份冒用。

在當(dāng)前的網(wǎng)絡(luò)環(huán)境下，企業(yè)應(yīng)結(jié)合多層安全防護策略，如啟用 LSA 保護、監(jiān)測 LSASS 進程活動、限制高權(quán)限賬戶使用、使用 EDR/XDR 進行實時防御，才能有效降低 Mimikatz 帶來的風(fēng)險。

閱讀原文：原文鏈接