Mimikatz 是一个开源的、功能强大的安全工具,广泛用于渗透测试和网络安全审计。由 Benjamin Delpy 开发,它的主要功能是提取 Windows 系统中的用户凭证,包括密码、哈希、PIN 等。Mimikatz 通常用于模拟真实攻击以验证系统的安全性,并协助管理员理解和改进 Windows 系统的安全防护措施。
Mimikatz 的主要功能
-
内存中提取明文密码:能够从 Windows 系统的 LSASS 进程中提取出明文密码,但需要管理员权限。
-
提取 NTLM 和 Kerberos Hash:可以获取 NTLM 和 Kerberos 哈希,供攻击者使用其他工具进行哈希传递攻击 (Pass-the-Hash)。
-
Pass-the-Hash (PTH) 攻击:允许使用提取的 NTLM 哈希,而不需要明文密码,从而模拟用户身份。
-
Pass-the-Ticket (PTT) 攻击:利用 Kerberos ticket(TGT或TGS)进行攻击,实现对目标系统的访问。
-
金票 (Golden Ticket):Mimikatz 可以生成一个有效的伪造 Kerberos TGT,从而获得对目标域环境的持久访问权限。
-
银票 (Silver Ticket):生成伪造的服务票据 (TGS) 来访问特定的服务。
-
权限提升:通过利用 Windows 系统的漏洞提升用户权限。
使用 Mimikatz 的基本步骤
-
启动 Mimikatz: 下载并运行 Mimikatz,通常需要管理员权限或 SYSTEM 权限。
-
启用权限: 使用以下命令来启用所需权限:
privilege::debug -
提取密码或哈希:
- 提取明文密码:
sekurlsa::logonpasswords - 获取 NTLM 哈希:
sekurlsa::logonpasswords
- 提取明文密码:
常见的安全防护措施
由于 Mimikatz 能够轻松提取凭证和模拟攻击,企业通常会采取多层次的防护措施来抵御此类攻击,例如:
- 使用 Windows Credential Guard 和 LSA Protection 来保护凭证。
- 强化用户权限控制,避免不必要的管理员权限分配。
- 定期监控系统日志,识别和阻止恶意活动。
由于其功能强大且潜在的破坏性,Mimikatz 应仅在获得授权的合法渗透测试中使用,不得用于未经许可的入侵或破坏行为。