Foglio di Cheat Mimikatz¶

Panoramica¶

Mimikatz è un potente strumento di dumping e manipolazione delle credenziali sviluppato da Benjamin Delpy (@gentilkiwi). Può estrarre password di testo normale, hashes, codici PIN e biglietti Kerberos dalla memoria, così come eseguire vari attacchi come pass-the-hash, pass-the-ticket, e la creazione di biglietti d'oro.

⚠️ Warning: Mimikatz è uno strumento di test di sicurezza che può essere utilizzato male. Usalo solo in ambienti in cui hai il permesso esplicito di farlo.

Ottenere Mimikatz¶

Repository ufficiale¶

[URL_0_]
Ultima release: [https://github.com/gentilkiwi/mimikatz/releases](https://github.com/gentilkiwi/mimikatz/releases]

Binari precompilati¶

mimikatz.exe_ - eseguibile a 32 bit
mimikatz_trunk.zip - Contiene sia eseguibili a 32 bit che a 64 bit

Raccolta dalla fonte¶

Traduzione:

Uso di base¶

Correre Mimikatz¶

Traduzione:

Elevando Privilegi¶

Traduzione:

Ottenere aiuto¶

Traduzione:

Mimikatz emozionante¶

Traduzione:

Moduli e Comandi core¶

sekurlsa Module (LSASS Memory Access)¶

Command	Description
`sekurlsa::logonpasswords`	Extract all logon passwords
`sekurlsa::tickets`	Extract Kerberos tickets
`sekurlsa::ekeys`	Extract Kerberos encryption keys
`sekurlsa::dpapi`	Extract DPAPI master keys
`sekurlsa::credman`	Extract credentials from Windows Credential Manager
`sekurlsa::msv`	Extract MSV authentication information
`sekurlsa::tspkg`	Extract TSPKG authentication information
`sekurlsa::wdigest`	Extract WDigest authentication information
`sekurlsa::kerberos`	Extract Kerberos authentication information
`sekurlsa::ssp`	Extract SSP authentication information
`sekurlsa::livessp`	Extract LiveSSP authentication information
`sekurlsa::cloudap`	Extract CloudAP authentication information

Modulo lsadump (SAM e Active Directory)¶

Command	Description
`lsadump::sam`	Extract hashes from the SAM database
`lsadump::secrets`	Extract LSA secrets
`lsadump::cache`	Extract cached domain credentials
`lsadump::dcsync`	Perform DCSync attack to retrieve password data
`lsadump::lsa`	Extract LSA secrets
`lsadump::trust`	Extract domain trust keys
`lsadump::backupkeys`	Extract domain backup keys

kerberos Module (Ticket Manipulation)¶

Command	Description
`kerberos::list`	List all Kerberos tickets
`kerberos::purge`	Purge all Kerberos tickets
`kerberos::ptt`	Pass-the-ticket (inject a ticket)
`kerberos::golden`	Create a golden ticket
`kerberos::silver`	Create a silver ticket
`kerberos::tgt`	Create a TGT
`kerberos::hash`	Calculate Kerberos keys from password

Modulo crittografico (Operazioni crittografiche)¶

Command	Description
`crypto::certificates`	List certificates
`crypto::keys`	List keys
`crypto::system`	List system certificates
`crypto::capi`	List CAPI certificates
`crypto::cng`	List CNG certificates
`crypto::stores`	List certificate stores

Modulo del vault (Accesso del Vault di Windows)¶

Command	Description
`vault::cred`	List credentials in Windows Vault
`vault::list`	List vault credentials

Modulo di token (manipolazione di token)¶

Command	Description
`token::whoami`	Display current token information
`token::list`	List all tokens
`token::elevate`	Elevate token privileges
`token::revert`	Revert token
`token::run`	Run a process with a token

modulo privilegio (gestione privilegi)¶

Command	Description
`privilege::debug`	Enable debug privilege
`privilege::driver`	Load a driver

Modulo evento (Event Log Management)¶

Command	Description
`event::clear`	Clear event logs
`event::drop`	Drop event logs

Modulo ts (servizi terminali)¶

Command	Description
`ts::sessions`	List terminal services sessions
`ts::multirdp`	Enable multiple RDP sessions

Modulo misc (Miscellaneo)¶

Command	Description
`misc::cmd`	Command prompt
`misc::regedit`	Registry editor
`misc::taskmgr`	Task manager
`misc::ncroutemon`	Network connection route monitor
`misc::detours`	Detours detection
`misc::skeleton`	Install skeleton key

Tecniche di attacco comuni¶

Credenziali di dumping¶

Estrarre le password¶

Traduzione:

Estrarre le credenziali da SAM¶

Traduzione:

Estrarre Credenziali di Dominio¶

Traduzione:

Estratto da LSASS Dump¶

Traduzione:

Attacchi di passaggio¶

Pass-the-Hash con NTLM¶

Traduzione:

Pass-the-Hash con AES Keys¶

Traduzione:

Over-Pass-the-Hash (Convertire NTLM a Kerberos)¶

Traduzione:

Attacco DCSync¶

Estratto NTLM Hashes per tutti gli utenti¶

¶

Estratto NTLM Hash per utente specifico¶

Traduzione:

Estratto NTLM Hash per KRBTGT (per biglietto d'oro)¶

Traduzione:

Attacco biglietti Kerberos¶

Elenco biglietti Kerberos¶

Traduzione:

Creare un biglietto d'oro¶

Traduzione:

Crea un biglietto d'argento¶

Traduzione:

Pass-the-Ticket¶

Traduzione:

Biglietti d'acquisto¶

Traduzione:

Attacco chiave scheletro¶

Traduzione:

Tecniche avanzate¶

DPAPI Master Key Extraction¶

Traduzione:

Protezione LSA¶

Traduzione:

Operazioni remote¶

Traduzione:

Estrarre le credenziali da Windows Credential Manager¶

Traduzione:

Estrarre le chiavi di backup del dominio¶

Traduzione:

Esempi di comando con parametri¶

sekurlsa:: logonpasswords¶

Traduzione:

sekurlsa::¶

Traduzione:

lsadump::¶

Traduzione:

kerberos:: oro¶

Traduzione:

cherberos::ptt¶

Traduzione:

Misure difensive¶

Metodi di rilevamento¶

Monitorare per la creazione di processo di mimikatz.exe o processi sospetti di accesso lsass. ex
Monitor per l'accesso alla memoria LSASS sospetto
Monitor per le operazioni DCSync (chieste di replica da macchine non DC)
Monitor per la creazione e la manipolazione dei biglietti
Monitoraggio per l'escalation dei privilegi

Metodi di prevenzione¶

Abilitare la protezione LSA (RunAsPPL) Traduzione:
Abilitare la Guardia Credenziale (Windows 10/Server 2016+)
Implementazione Protetta Gruppo utenti
Disattiva l'autenticazione WDigest Traduzione:
Implementare Basta Amministrazione (JEA)
Regolare rotazione della password
Limitare i privilegi amministrativi
Utilizzare password forti

Risorse¶

Repository ufficiale GitHub
Mimikatz
ADSecurity Guida Mimikatz
[MITRE ATT&CK - Credential Dumping](LINK_8
MITRE ATT&CK - Pass the Hash
MITRE ATT&CK - Pass the Ticket