神器mimikatz使用详解

65：内⽹安全-域环境⼯作组局域⽹探针⽅案——域信息收集就是要获取域⾥的⽤户都有哪些！多数。

思维导图⼀基本认知DMZ：英⽂全名“Demilitarized Zone”，中⽂含义是“隔离区”，在安全领域的具体含义是“内外⽹防⽕墙之间的区域”。

DMZ区是⼀个缓冲区，在DMZ区存放着⼀些公共服务器，⽐如论坛等。

⼯作组 VS 域环境⼯作组：地位平等，管理分散，没有集中管理。

域环境：地位不平等，管理集中，实现集中管理。

域环境也可以简单的理解为⼯作组的升级版，更好管理。

这⾥我们把域环境和⼯作组区分开来是因为他们的攻击⼿段不同，⼯作组中的攻击⼿法如DNS劫持、ARP欺骗在域环境下是没有作⽤的。

有⼀些攻击⼿段需要⼀些条件，这些条件在域环境下没有，相应的攻击⼿段就会失效。

域控制器DC：域控DC是这个域中的管理者，域⾥⾯的最⾼权限，判断是否拿下整个域，就是看你是否拿下这台域控制器。

AD（活动⽬录）：是微软所提供的⽬录服务（查询，⾝份验证），活动⽬录的核⼼包含了活动⽬录数据库，在活动⽬录数据库中包含了域中所有的对象（⽤户，计算机，组…），活动⽬录(Active Directory)是⾯向Windows Standard Server、Windows Enterprise Server 以及Windows Datacenter Server的⽬录服务。

Active Directory储存了有关⽹络对象的信息，并且让管理员和⽤户能够轻松的查找和使⽤这些信息，Active Directory使⽤了⼀种结构化的数据储存⽅式，并以此作为基础对⽬录信息进⾏合乎逻辑的分层组织。

linux域渗透问题：Q：AD域控制器只在windows server系统能做吗？Linux可以？A：linux上也有相应的活动⽬录的，不过要装LDAP环境，⼀般企很少会⽤LDAP来管理的，因为功能上不及域强⼤，⽽且⽤linux来管理的话要求技术⼈员门槛也⽐较⾼，个⼈认为Linux还是⽐较适合做服务器好⼀点。

mimikatz用法摘要：一、mimikatz简介1.什么是mimikatz2.发展历程二、mimikatz功能1.凭证窃取2.哈希破解3.权限提升4.数据泄露三、mimikatz使用场景1.网络安全审计2.应急响应3.安全培训四、mimikatz潜在风险1.滥用权限2.恶意攻击3.隐私泄露五、如何防范mimikatz攻击1.加强密码策略2.更新系统补丁3.限制非必要服务4.定期审计系统正文：mimikatz是一款开源的Windows系统安全工具，主要用于收集、破解和利用Windows系统的凭证信息。

它的发展历程可以追溯到2013年，由法国安全专家MikeAdinolfi创建。

mimikatz具有许多强大的功能，可以帮助用户在合法合规的前提下，对Windows系统进行安全审计和应急响应。

首先，mimikatz可以用于凭证窃取。

它能够捕获并分析Windows系统中的明文密码、哈希密码和其他敏感信息。

这有助于用户发现潜在的安全漏洞和凭证滥用现象。

其次，mimikatz支持哈希破解。

它能够破解Windows系统中的哈希密码，从而帮助用户找到遗失或泄露的密码。

这一功能在安全审计和数据恢复场景中非常有用。

此外，mimikatz还可以用于权限提升。

它可以帮助用户获取更高的系统权限，以便执行某些需要管理员权限的操作。

这在应急响应和系统维护场景中具有重要意义。

然而，mimikatz也存在潜在风险。

如果被恶意攻击者滥用，它可能会导致系统权限被窃取、数据泄露和恶意代码执行等问题。

因此，在使用mimikatz时，务必确保合法合规，遵循相关法律法规。

为了防范mimikatz攻击，用户可以采取以下措施：1.加强密码策略。

使用强密码，避免使用容易被猜测或破解的密码。

同时，定期更新密码，降低密码泄露的风险。

2.更新系统补丁。

及时安装Windows系统更新，修复已知的安全漏洞，降低系统受攻击的风险。

3.限制非必要服务。

关闭不必要的服务和端口，降低系统暴露在网络中的风险。

内⽹渗透中mimikatz使⽤⽅法Mimikatz简介Mimikatz 是⼀款功能强⼤的轻量级调试神器，通过它你可以提升进程权限注⼊进程读取进程内存，当然他最⼤的亮点就是他可以直接从lsass.exe进程中获取当前登录系统⽤户名的密码， lsass是微软Windows系统的安全机制它主要⽤于本地安全和登陆策略，通常我们在登陆系统时输⼊密码之后，密码便会储存在 lsass内存中，经过其 wdigest 和 tspkg 两个模块调⽤后，对其使⽤可逆的算法进⾏加密并存储在内存之中，⽽ mimikatz 正是通过对lsass逆算获取到明⽂密码！也就是说只要你不重启电脑，就可以通过他获取到登陆密码，只限当前登陆系统！Mimikatz命令使⽤cls：清屏standard：标准模块，基本命令crypto：加密相关模块sekurlsa：与证书相关的模块kerberos：kerberos模块privilege：提权相关模块process：进程相关模块serivce：服务相关模块lsadump：LsaDump模块ts：终端服务器模块event：事件模块misc：杂项模块token：令牌操作模块vault：Windows 、证书模块minesweeper：Mine Sweeper模块dpapi：DPAPI模块（通过API或RAW访问）[数据保护应⽤程序编程接⼝]busylight：BusyLight Modulesysenv：系统环境值模块sid：安全标识符模块iis：IIS XML配置模块rpc：mimikatz的RPC控制sr98：⽤于SR98设备和T5577⽬标的RF模块rdm：RDM（830AL）器件的射频模块acr：ACR模块version：查看版本exit：退出Mimikatz常⽤命令cls-----------------------------清屏exit----------------------------退出version------------查看mimikatz的版本system::user-----查看当前登录的系统⽤户system::computer-------查看计算机名称process::list------------------列出进程process::suspend 进程名称 -----暂停进程process::stop 进程名称---------结束进程process::modules --列出系统的核⼼模块及所在位置service::list---------------列出系统的服务service::remove-----------移除系统的服务service::start stop 服务名称--启动或停⽌服务privilege::list---------------列出权限列表privilege::enable--------激活⼀个或多个权限privilege::debug-----------------提升权限nogpo::cmd------------打开系统的cmd.exenogpo::regedit -----------打开系统的注册表nogpo::taskmgr-------------打开任务管理器ts::sessions-----------------显⽰当前的会话ts::processes------显⽰进程和对应的pid情况等sekurlsa::wdigest-----获取本地⽤户信息及密码sekurlsa::tspkg------获取tspkg⽤户信息及密码sekurlsa::logonPasswords--获登陆⽤户信息及密码Mimikatz使⽤前准备mimikatz # logmimikatz # privilege::debug //提升权限（不是administrator，debug会失败）Mimikatz抓取明⽂密码mimikatz #logmimikatz #privilege::debugmimikatz #sekurlsa::logonpasswords注：但是在安装了KB2871997补丁或者系统版本⼤于windows server 2012时，系统的内存中就不再保存明⽂的密码，这样利⽤mimikatz就不能从内存中读出明⽂密码了。

CobaltStrike的使⽤CobaltStrike的使⽤01CobaltStrikeCobaltStrike是⼀款渗透测试神器，被业界⼈称为CS神器。

CobaltStrike分为客户端与服务端，服务端是⼀个，客户端可以有多个，可被团队进⾏分布式协团操作。

CobaltStrike集成了端⼝转发、服务扫描，⾃动化溢出，多模式端⼝监听，windows exe ⽊马⽣成，windows dll ⽊马⽣成，java ⽊马⽣成，office 宏病毒⽣成，⽊马捆绑。

钓鱼攻击包括：站点克隆，⽬标信息获取，java 执⾏，浏览器⾃动攻击等等强⼤的功能！02CobaltStrike的安装我这⾥以Kali安装为例：先去下载jdk版本上传到Kali中，解压：tar -xzvf jdk-8u191-linux-x64.tar.gz移动到opt⽬录下：mv jdk1.8.0_191/ /opt/进⼊jdk⽬录：cd /opt/jdk1.8.0_191执⾏ vim ~/.bashrc ，并添加下列内容# install JAVA JDKexport JAVA_HOME=/opt/jdk1.8.0_191export CLASSPATH=.:${JAVA_HOME}/libexport PATH=${JAVA_HOME}/bin:$PATH保存退出执⾏: source ~/.bashrc执⾏：update-alternatives --install /usr/bin/java java /opt/jdk1.8.0_191/bin/java 1update-alternatives --install /usr/bin/javac javac /opt/jdk1.8.0_191/bin/javac 1update-alternatives --set java /opt/jdk1.8.0_191/bin/javaupdate-alternatives --set javac /opt/jdk1.8.0_191/bin/javac查看结果：update-alternatives --config javaupdate-alternatives --config javac安装好了java之后，我们就去安装CobaltStrike了！上传到Kali中，解压：unzip cobaltstrike-linux.zip进⼊cobalstrike中：cd cobaltstrike-linux/启动服务端：启动服务端：./teamserver 192.168.10.11123456 #192.168.10.11是kali的ip地址，123456是密码后台运⾏，关闭当前终端依然运⾏：nohup ./teamserver 192.168.10.11123456 &这⾥CobaltStrike默认监听的是50050端⼝，如果我们想修改这个默认端⼝的话，可以打开teamserver⽂件，将其中的50050修改成任意⼀个端⼝号启动客户端：./cobaltstrike这⾥host填kali的ip，密码就是刚刚我们启动的密码。

python mimikatz原理Python Mimikatz原理解析1. 什么是Mimikatz？Mimikatz是一款知名的安全测试工具，用于提取Windows操作系统中存储的敏感信息，如明文密码、NTLM哈希、Kerberos票据等。

它最初由法国安全研究员Benjamin Delpy开发，支持通过内存注入等技术获取这些敏感信息。

2. Mimikatz的运行原理Mimikatz的运行原理主要基于以下几个关键点：Windows凭证管理Windows操作系统中的凭证管理模块负责存储和管理用户的密码、哈希以及其他与身份验证相关的信息。

这些凭证数据被保存在内存中，并使用CredSSP协议进行保护。

密码的明文存储方式在早期的Windows操作系统中，用户密码通常以明文形式存储在内存中，这为恶意攻击者提供了获取密码的机会。

Mimikatz利用这一漏洞，通过读取内存中的明文密码来获取敏感信息。

内存注入技术Mimikatz通过使用内存注入技术，将自身加载到目标系统的内存中，并直接操作系统内核或其他进程的内存。

这样，Mimikatz就能够绕过防火墙和安全软件的检测，获取目标系统中的敏感信息。

3. Python Mimikatz原理详解基于Python的Mimikatz工具为了简化Mimikatz工具的使用，很多开发者将其功能封装为Python库。

这样一来，用户可以直接使用Python脚本调用Mimikatz 函数，而无需了解Mimikatz的具体实现原理。

使用Python库访问Mimikatz功能使用Python库调用Mimikatz功能主要包括以下几个步骤：1.导入所需的Python库，如cffi、ctypes等。

2.加载Mimikatz库的动态链接库（DLL）。

3.使用DLL中的函数，如mimidrv_ioctl来实现内存注入和读取敏感信息等操作。

内存注入过程内存注入是Mimikatz的核心功能之一。

在Python中，通过调用Mimikatz库的函数，可以实现将Mimikatz代码加载到目标系统的内存中。

mimikatz_trunk 使用
【最新版】
目录
1.mimikatz_trunk 的概述
2.mimikatz_trunk 的使用方法
3.mimikatz_trunk 的应用场景
4.mimikatz_trunk 的优缺点
5.总结
正文
mimikatz_trunk 是一款用于 Windows 操作系统上的密码破解工具，其主要的功能是能够获取系统中的敏感信息，例如用户密码等。

这款工具的使用方法相对简单，用户只需在命令行中输入相应的命令即可。

在使用 mimikatz_trunk 之前，用户需要先获取到目标计算机的权限，才能够使用该工具获取系统中的信息。

一旦获取到目标计算机的权限，用户就可以在命令行中输入“mimikatz_trunk”命令，启动该工具。

在工具启动后，用户可以通过输入不同的参数来实现不同的功能。

例如，输入“/password”参数，就可以获取到当前用户的密码；输入“/hashes”参数，就可以获取到系统中的所有用户密码的哈希值。

mimikatz_trunk 的应用场景非常广泛，既可以用于网络安全管理人
员对系统进行安全审计，也可以用于渗透测试人员进行渗透测试。

但是，由于这款工具的功能非常强大，如果不当使用，可能会对系统的安全造成威胁。

mimikatz_trunk 的优点在于其功能强大，可以获取到系统中的各种
敏感信息；缺点在于使用难度较高，需要用户具有一定的技术水平。

同时，如果不当使用，可能会对系统的安全造成威胁。

神器mimikatz使用详解一.mimikatz简介mimikatz是法国人Gentil Kiwi编写的一款windows平台下的神器，它具备很多功能，其中最亮的功能是直接从lsass.exe 进程里获取windows处于active状态账号的明文密码。

mimikatz的功能不仅如此，它还可以提升进程权限，注入进程，读取进程存等等，mimikatz包含了很多本地模块，更像是一个轻量级的调试器，其强大的功能还有待挖掘。

作者主页：blog.gentilkiwi./二.mimikatz基础命令随便输入”xxx::”，会提示”modules:’xxx’intr0uvable”,大概意思就是你输入的命令不存在，然后会列出所有可用的命令所有的模块与命令，如下图（左边的是模块名称，右边的是描述）：1.cls 清屏2.exit 退出3.version 查看mimikatz的版本4.help 查看帮助信息（全是法文，只能找google了）5.system::user 查看当前登录的系统用户6.system::computer 查看计算机名称7.process::list 列出进程8.process::suspend 进程名称暂停进程QQ进程还在，只是QQ无法使用了。

9.process::stop 进程名称结束进程10.process::modules 列出系统的核心模块及所在位置11.service::list 列出系统的服务12.service::remove 移除系统的服务13.service::start stop 服务名称启动或停止服务14.privilege::list 列出权限列表15.privilege::enable 激活一个或多个权限16.privilege::debug 提升权限17.nogpo::cmd 打开系统的cmd.exe18.nogpo::regedit 打开系统的注册表19.nogpo::taskmgr 打开任务管理器20.ts::sessions 显示当前的会话21.ts::processes显示进程和对应的pid情况等22.sekurlsa::wdigest 获取本地用户信息及密码23.sekurlsa::wdigest 获取kerberos用户信息及密码24.sekurlsa::tspkg 获取tspkg用户信息及密码25.sekurlsa::logonPasswords 获登陆用户信息及密码ps：1.由于命令很多，就不一一列出了。

病毒样本分析实例0×01事件经过2016年2月26日，一个网络安全相关的QQ群内，一名用户分享了一份名为“网络安全宝典.chm”的电子书供大家下载，网络安全工程师Bfish自然地下载了这本电子书，打算简单翻阅后决定是否收藏。

当Bfish打开这个才12K大小的电子书时，感知到了计算机的异常行为，这让他意识到：这本电子书有问题。

在解开这份CHM文档后，网络安全工程师在一个html页面中找到了原因：这个电子书中的某个HTML页面内，嵌入了一段恶意代码，它可以下载一个PowerShell脚本并执行。

顺藤摸瓜，Bfish最终确认了这是一个针对特定人群，以盗取用户帐号密码、文档资料为目的恶意攻击事件。

这段CHM恶意代码如同幽灵一样被执行并作恶，故将此称之为幽灵电子书（ChmGhost）。

0×02主要危害通过电子书散播，攻击受众有很强的群体性，对特定人群发起攻击简直易如反掌，而且电子书“诱饵”更容易迷惑大众。

目前看到的攻击代码，主要的危害为窃取用户隐私：Windows账户信息和密码、各类应用程序的密码、计算机基本信息、屏幕截图、网络配置和Wi-Fi信息、各类文档，造成用户敏感信息和资料泄漏。

这些资料的泄漏伴随着商业机密泄漏的风险，后续或造成更大的损失。

另外，攻击时所用的恶意代码，无论是二进制还是脚本，几乎都来自网络下载，攻击可以随时开启和关闭，攻击手法、攻击目的也都可以变化，这个“后门”的潜在危害也相当之大。

2月26日发现的CHM的标题是网络安全相关的，并且在网络安全相关的QQ群内散播，表明攻击者的目标是网络安全从业和对网络安全感兴趣的、有一定计算机安全基础的群体，但就算如此，仅一天时间就已经有多名受害者，如果攻击者转到其他领域，受众群体应该会更没有感知能力，危害也将更大。

0×03攻击实施纵览0×04详细技术分析首先，CHM中使用了一种古老的方法—利用Internet.HHCtrl对象来运行任意命令行。