24.10.2024
管理
如何安装和使用 Mimikatz
什么是 Mimikatz?
Mimikatz 是一个开源工具,广泛用于网络安全专业人员测试系统安全。它允许直接从 Windows 系统的内存中提取明文密码、密码哈希、PIN 码和 Kerberos 票证。由于这些功能,Mimikatz 通常用于道德黑客和渗透测试。
谁在使用 Mimikatz,为什么?
Mimikatz 主要被信息安全专家用于:
- 安全分析 – 评估对凭证攻击的保护。
- 漏洞评估 – 检查密码和 Kerberos 票证的存储安全性。
- 培训和演示 – 向管理员和工程师展示现实世界的攻击技术。
然而,Mimikatz 也可能被恶意行为者滥用,用于:
- Pass-the-Hash 和 Pass-the-Ticket 攻击 – 使用被盗凭证而不知原始密码。
- 未经授权的访问 – 使用被泄露的身份验证数据访问受保护的系统。
- 后期利用 – 在初次入侵后保持访问。
重要:在未授权的系统上使用 Mimikatz 是非法的,可能会导致刑事责任。
前提条件
在开始之前,请确保您具备:
- Windows 系统 – Mimikatz 设计用于 Windows 操作系统。
- 管理员权限 – 许多 Mimikatz 功能需要此权限。
- 配置或禁用的防病毒软件 – 许多安全解决方案将 Mimikatz 检测为恶意软件。
步骤 1:下载 Mimikatz
- 访问官方仓库:
前往 Mimikatz GitHub 仓库。 - 下载最新版本:
- 打开 Releases 部分。
- 下载最新的压缩包(例如,)。
mimikatz_trunk.zip
- 解压缩压缩包:
- 右键单击 ZIP 文件并选择 全部提取。
- 选择目标目录。
步骤 2:运行 Mimikatz
- 以管理员身份打开命令提示符:
- 按 Windows + X 并选择 命令提示符(管理员) 或 Windows PowerShell(管理员)。
- 导航到 Mimikatz 目录:
cd C:PathToMimikatzx64确保该目录包含
。mimikatz.exe - 启动 Mimikatz:
mimikatz.exe如果出现
提示,则工具已成功启动。mimikatz #
步骤 3:基本 Mimikatz 命令
Mimikatz 提供多个命令用于从内存中提取凭证。
1. 获取密码
要检索存储在内存中的明文密码:
mimikatz # sekurlsa::passwords
此命令显示系统内存中可用的凭证。
2. 从内存转储中转储凭证
要从内存转储文件中提取凭证:
mimikatz # sekurlsa::minidump <path_to_dmp_file>
您可以使用任务管理器或 ProcDump 等工具创建转储文件。
3. 提取 Kerberos 票证
要列出当前会话中的 Kerberos 票证:
mimikatz # kerberos::list
4. 将凭证导出到文件
要将提取的凭证保存到文本文件:
mimikatz # sekurlsa::logonpasswords > credentials.txt
输出将写入当前目录中的
credentials.txt步骤 4:高级用法
Mimikatz 还包括用于更深入安全分析的高级功能:
- Golden Ticket 创建 – 生成可以冒充域用户的 Kerberos 票证。
- Pass-the-Hash 攻击 – 使用 NTLM 哈希而不是明文密码进行身份验证。
- 凭证转储 – 从 SAM 和其他凭证存储中提取 NTLM 哈希。
重要考虑事项
- 道德使用 – 在使用 Mimikatz 之前始终获得明确的许可。
- 防病毒检测 – 预计会收到安全软件的警报或阻止。
- 测试环境 – 尽可能在实验室或虚拟机中使用 Mimikatz。
结论
Mimikatz 是一个强大的工具,适用于安全专业人员,提供对 Windows 身份验证机制和凭证处理的深入了解。当负责任地使用时,它有助于识别弱点并改善安全态势。始终在法律和道德界限内操作。