Foglio di Cheat Mimikatz
Panoramica
Mimikatz è un potente strumento di dumping e manipolazione delle credenziali sviluppato da Benjamin Delpy (@gentilkiwi). Può estrarre password di testo normale, hashes, codici PIN e biglietti Kerberos dalla memoria, così come eseguire vari attacchi come pass-the-hash, pass-the-ticket, e la creazione di biglietti d'oro.
⚠️ Warning: Mimikatz è uno strumento di test di sicurezza che può essere utilizzato male. Usalo solo in ambienti in cui hai il permesso esplicito di farlo.
Ottenere Mimikatz
Repository ufficiale
- [_URL_0__]
- Ultima release: [https://github.com/gentilkiwi/mimikatz/releases](https://github.com/gentilkiwi/mimikatz/releases]
Binari precompilati
mimikatz.exe_ - eseguibile a 32 bitmimikatz_trunk.zip- Contiene sia eseguibili a 32 bit che a 64 bit
Raccolta dalla fonte
Traduzione:
Uso di base
Correre Mimikatz
Traduzione:
Elevando Privilegi
Traduzione:
Ottenere aiuto
Traduzione:
Mimikatz emozionante
Traduzione:
Moduli e Comandi core
sekurlsa Module (LSASS Memory Access)
| | Command | Description | |
| --- | --- |
| | sekurlsa::logonpasswords | Extract all logon passwords | |
| | sekurlsa::tickets | Extract Kerberos tickets | |
| | sekurlsa::ekeys | Extract Kerberos encryption keys | |
| | sekurlsa::dpapi | Extract DPAPI master keys | |
| | sekurlsa::credman | Extract credentials from Windows Credential Manager | |
| | sekurlsa::msv | Extract MSV authentication information | |
| | sekurlsa::tspkg | Extract TSPKG authentication information | |
| | sekurlsa::wdigest | Extract WDigest authentication information | |
| | sekurlsa::kerberos | Extract Kerberos authentication information | |
| | sekurlsa::ssp | Extract SSP authentication information | |
| | sekurlsa::livessp | Extract LiveSSP authentication information | |
| | sekurlsa::cloudap | Extract CloudAP authentication information | |
Modulo lsadump (SAM e Active Directory)
| | Command | Description | |
| --- | --- |
| | lsadump::sam | Extract hashes from the SAM database | |
| | lsadump::secrets | Extract LSA secrets | |
| | lsadump::cache | Extract cached domain credentials | |
| | lsadump::dcsync | Perform DCSync attack to retrieve password data | |
| | lsadump::lsa | Extract LSA secrets | |
| | lsadump::trust | Extract domain trust keys | |
| | lsadump::backupkeys | Extract domain backup keys | |
kerberos Module (Ticket Manipulation)
| | Command | Description | |
| --- | --- |
| | kerberos::list | List all Kerberos tickets | |
| | kerberos::purge | Purge all Kerberos tickets | |
| | kerberos::ptt | Pass-the-ticket (inject a ticket) | |
| | kerberos::golden | Create a golden ticket | |
| | kerberos::silver | Create a silver ticket | |
| | kerberos::tgt | Create a TGT | |
| | kerberos::hash | Calculate Kerberos keys from password | |
Modulo crittografico (Operazioni crittografiche)
| | Command | Description | |
| --- | --- |
| | crypto::certificates | List certificates | |
| | crypto::keys | List keys | |
| | crypto::system | List system certificates | |
| | crypto::capi | List CAPI certificates | |
| | crypto::cng | List CNG certificates | |
| | crypto::stores | List certificate stores | |
Modulo del vault (Accesso del Vault di Windows)
| | Command | Description | |
| --- | --- |
| | vault::cred | List credentials in Windows Vault | |
| | vault::list | List vault credentials | |
Modulo di token (manipolazione di token)
| | Command | Description | |
| --- | --- |
| | token::whoami | Display current token information | |
| | token::list | List all tokens | |
| | token::elevate | Elevate token privileges | |
| | token::revert | Revert token | |
| | token::run | Run a process with a token | |
modulo privilegio (gestione privilegi)
| | Command | Description | |
| --- | --- |
| | privilege::debug | Enable debug privilege | |
| | privilege::driver | Load a driver | |
Modulo evento (Event Log Management)
| | Command | Description | |
| --- | --- |
| | event::clear | Clear event logs | |
| | event::drop | Drop event logs | |
Modulo ts (servizi terminali)
| | Command | Description | |
| --- | --- |
| | ts::sessions | List terminal services sessions | |
| | ts::multirdp | Enable multiple RDP sessions | |
Modulo misc (Miscellaneo)
| | Command | Description | |
| --- | --- |
| | misc::cmd | Command prompt | |
| | misc::regedit | Registry editor | |
| | misc::taskmgr | Task manager | |
| | misc::ncroutemon | Network connection route monitor | |
| | misc::detours | Detours detection | |
| | misc::skeleton | Install skeleton key | |
Tecniche di attacco comuni
Credenziali di dumping
Estrarre le password
Traduzione:
Estrarre le credenziali da SAM
Traduzione:
Estrarre Credenziali di Dominio
Traduzione:
Estratto da LSASS Dump
Traduzione:
Attacchi di passaggio
Pass-the-Hash con NTLM
Traduzione:
Pass-the-Hash con AES Keys
Traduzione:
Over-Pass-the-Hash (Convertire NTLM a Kerberos)
Traduzione:
Attacco DCSync
Estratto NTLM Hashes per tutti gli utenti
Estratto NTLM Hash per utente specifico
Traduzione:
Estratto NTLM Hash per KRBTGT (per biglietto d'oro)
Traduzione:
Attacco biglietti Kerberos
Elenco biglietti Kerberos
Traduzione:
Creare un biglietto d'oro
Traduzione:
Crea un biglietto d'argento
Traduzione:
Pass-the-Ticket
Traduzione:
Biglietti d'acquisto
Traduzione:
Attacco chiave scheletro
Traduzione:
Tecniche avanzate
DPAPI Master Key Extraction
Traduzione:
Protezione LSA
Traduzione:
Operazioni remote
Traduzione:
Estrarre le credenziali da Windows Credential Manager
Traduzione:
Estrarre le chiavi di backup del dominio
Traduzione:
Esempi di comando con parametri
sekurlsa:: logonpasswords
Traduzione:
sekurlsa::
Traduzione:
lsadump::
Traduzione:
kerberos:: oro
Traduzione:
cherberos::ptt
Traduzione:
Misure difensive
Metodi di rilevamento
- Monitorare per la creazione di processo di mimikatz.exe o processi sospetti di accesso lsass. ex
- Monitor per l'accesso alla memoria LSASS sospetto
- Monitor per le operazioni DCSync (chieste di replica da macchine non DC)
- Monitor per la creazione e la manipolazione dei biglietti
- Monitoraggio per l'escalation dei privilegi
Metodi di prevenzione
- Abilitare la protezione LSA (RunAsPPL) Traduzione:
- Abilitare la Guardia Credenziale (Windows 10/Server 2016+)
- Implementazione Protetta Gruppo utenti
- Disattiva l'autenticazione WDigest Traduzione:
- Implementare Basta Amministrazione (JEA)
- Regolare rotazione della password
- Limitare i privilegi amministrativi
- Utilizzare password forti
Risorse
- Repository ufficiale GitHub
- Mimikatz
- ADSecurity Guida Mimikatz
- [MITRE ATT&CK; - Credential Dumping](LINK_8 -%20MITRE%20ATT&CK;%20-%20Pass%20the%20Hash
- MITRE ATT&CK; - Pass the Ticket