简介

mimikatz是一款功能强大的轻量级调试神器,通过它你可以提升进程权限注入进程读取进程内存,当然他最大的亮点也是让阿刚最感兴趣的就是他可以直接从 lsass中获取当前处于Active系统的登录密码, lsass是微软Windows系统的安全机制它主要用于本地安全和登陆策略,通常我们在登陆系统时输入密码之后,密码便会储存在 lsass内存中,经过其 wdigest 和 tspkg 两个模块调用后,对其使用可逆的算法进行加密并存储在内存之中, 而mimikatz正是通过对lsass的逆算获取到明文密码!也就是说只要你不重启电脑,就可以通过他获取到登陆密码,只限当前登陆系统!

基本命令

实战抓取

只需要运行两条命令:

1517989449.jpg

我们也可以用powershell来抓取,仅需一条命令:

1517989566.jpg

进阶

绕过杀软抓取密码

  1. procdump

利用 procdump 导出 lsass.exe 在内存里的数据,之后 mimikatz 本地读取 操作系统版本要一致
1.jpg

  1. Invoke-Mimikatz

内存中执行 不会在本地储存文件,前提是要支持 powershell

其他小技巧

若管理员有每过几天就改密码的习惯,但是mimikatz抓取到的密码都是老密码

用QuarksPwDump等抓的hash也是老hash,新密码却抓不到的情况下

可以使用以下方法尝试解决

记录的结果在c:\windows\system32\mimilsa.log
每次验证都会记录,如 锁屏 等 重启失效

出现如上问题是因为管理一直没注销过,都是直接断开连接,lsass进程里面还吃存放的老的。

也可以直接logoff,但是这样会很明显。

更多关于mimikatz妙用的文章:
Mimikatz 使用小技巧
如何防御“神器”Mimikatz窃取系统密码?
Blog de Gentil Kiwi
密码抓取神器 mimikatz