- Регистрация
- 3 Фев 2025
- Сообщения
- 58
- Реакции
- 12
Программа mimikatz позволяет извлечь из памяти Windows пароли в виде простого текста, хэши паролей, билеты kerberos из памяти и т.д.
Также mimikatz позволяет выполнить атаки pass-the-hash, pass-the-ticket или генерировать Golden тикеты. Функционал mimikatz доступен также через Metasploit Framework.
Скачать утилиту mimikatz можно c GitHub:
Распакуйте архив mimikatz_trunk.zip в каталог C:\Tools\mimikatz. В этом каталоге появятся две версии mimikatz – для x64 и x86. Используйте версию для своей битности Windows.
В этой статье мы покажем, как получить пароли пользователей в Windows Server 2016 или Windows с помощью mimikatz.
Запустите Mimikatz.exe с правами администратора;
В контексте утилиты выполните команды:
Данная команда предоставит текущей учетной записи права отладки процессов (SeDebugPrivilege).
Данная команда вернет довольно большой список. Найдите в нем учетные записи пользователей.
В моем случае на сервере кроме моей учетной записи есть активные сессии двух пользователей: anovach и administrator.
Скопируйте их NTLM хэши (выделено на скриншоте). В моем случае получились такие данные:
Как вы видите, сервис быстро нашел значения для этих NTLM хэшей. Т.е. мы получили пароли пользователей в открытом виде (представьте, что один из них это администратор домена….).
Если вы используете более сложные пароли, расшифровать их будет намного сложнее. Поэтому всегда включаете повышенную сложность в политике паролей Windows и выполняйте аудит надежности паролей в домене.
Как вы видите, благодаря mimikatz мы получили NTLM хеши всех активных пользователей! Все это благодаря тому, что на данном компьютере разрешено использовать режим отладки, выставляя флаг SeDebugPrivilege для нужного процесса. В этом режиме программы могут получать низкоуровневый доступ к памяти процессов, запущенных от имени системы.
Создать дамп памяти процесса в Windows довольно просто. Запустите Task Manager, найдите процесс lsass.exe, щелкните по нему правой клавишей и выберите Create dump file.
Windows сохраните дам памяти в указанную папку.
Вам осталось только разобрать дамп с помощью mimikatz (можно на другом компьютере). Загрузите дамп памяти в mimikatz:
Вывести информацию о пользователях, и хэшах их паролей из сохраненного дампа памяти:
Вы можете получить дамп памяти с удаленного компьютера с помощью psexec, или через WinRM (при наличии прав администратора), и затем из него пароли пользователей.
Также для получения дампа можно использовать утилиту procdump от Sysinterals.
Дамп памяти для процесса LSASS можно получить с помощью PowerShell функции
Для этого понадобится пакет Debugging Tool for Windows (WinDbg), сам mimikatz и утилита преобразования .vmem в файл дампа памяти (для Hyper-V это может быть vm2dmp.exe или MoonSols Windows Memory toolkit для vmem файлов VMWare).
Например, чтобы преобразовать файл подкачки vmem виртуальной машины VMWare в дамп, выполните команду:
Полученный дамп откройте в WinDbg (File -> Open Crash Dump). Загрузите библиотеку mimikatz с именем mimilib.dll (используйте версию библиотеки в зависимости от разрядности Windows):
Найдите в дампе процесс lsass.exe:
И наконец, выполните:
В результате вы получите список пользователей Windows, и NTLM хэши их паролей, или даже пароли в открытом виде.
Также mimikatz позволяет выполнить атаки pass-the-hash, pass-the-ticket или генерировать Golden тикеты. Функционал mimikatz доступен также через Metasploit Framework.
Скачать утилиту mimikatz можно c GitHub:
Вы должны быть зарегистрированы для просмотра ссылок
.Распакуйте архив mimikatz_trunk.zip в каталог C:\Tools\mimikatz. В этом каталоге появятся две версии mimikatz – для x64 и x86. Используйте версию для своей битности Windows.
В этой статье мы покажем, как получить пароли пользователей в Windows Server 2016 или Windows с помощью mimikatz.
Извлекаем хэши паролей пользователей из памяти Windows
Попробуем извлечь хэши паролей всех залогиненых пользователей из памяти Windows (процесса lsass.exe — Local Security Authority Subsystem Service) на RDS сервере с Windows Server 2016.Запустите Mimikatz.exe с правами администратора;
В контексте утилиты выполните команды:
Код:
mimikatz # privilege::debug
Код:
mimikatz # sekurlsa::logonPasswords fullВ моем случае на сервере кроме моей учетной записи есть активные сессии двух пользователей: anovach и administrator.
Скопируйте их NTLM хэши (выделено на скриншоте). В моем случае получились такие данные:
Код:
anovach (NTLM: 79acff649b7a3076b1cb6a50b8758ca8)
Administrator (NTLM: e19ccf75ee54e06b06a5907af13cef42)
Вы должны быть зарегистрированы для просмотра вложений
Теперь можно воспользоваться любым офлайн (есть утилита hashcat в Kali Linux) или онлайн сервисом по расшифровке NTLM хэшей. Я воспользуюсь сервисом
Вы должны быть зарегистрированы для просмотра ссылок
Как вы видите, сервис быстро нашел значения для этих NTLM хэшей. Т.е. мы получили пароли пользователей в открытом виде (представьте, что один из них это администратор домена….).
Вы должны быть зарегистрированы для просмотра вложений
Если вы используете более сложные пароли, расшифровать их будет намного сложнее. Поэтому всегда включаете повышенную сложность в политике паролей Windows и выполняйте аудит надежности паролей в домене.
Как вы видите, благодаря mimikatz мы получили NTLM хеши всех активных пользователей! Все это благодаря тому, что на данном компьютере разрешено использовать режим отладки, выставляя флаг SeDebugPrivilege для нужного процесса. В этом режиме программы могут получать низкоуровневый доступ к памяти процессов, запущенных от имени системы.
Получение хешей паролей пользователей из дампа памяти Windows
Рассмотренная выше методика получения хэшей пароля не сработает, если на сервере установлен антивирус, блокирующего инъекцию. В этом случае придется сначала создать дамп памяти процесса LSASS на целевом сервере, и затем на другом компьютере с помощью mimikatz извлечь из него хэши пароли для сессий пользователей.Создать дамп памяти процесса в Windows довольно просто. Запустите Task Manager, найдите процесс lsass.exe, щелкните по нему правой клавишей и выберите Create dump file.
Вы должны быть зарегистрированы для просмотра вложений
Windows сохраните дам памяти в указанную папку.
Вам осталось только разобрать дамп с помощью mimikatz (можно на другом компьютере). Загрузите дамп памяти в mimikatz:
Код:
Mimikatz “sekurlsa::minidump C:\Users\anovach\AppData\Local\Temp\lsass.DMP”
Код:
# sekurlsa::logonPasswords
Вы должны быть зарегистрированы для просмотра вложений
Вы можете получить дамп памяти с удаленного компьютера с помощью psexec, или через WinRM (при наличии прав администратора), и затем из него пароли пользователей.
Также для получения дампа можно использовать утилиту procdump от Sysinterals.
Код:
procdump -ma lsass.exe lsass.dmp
Вы должны быть зарегистрированы для просмотра ссылок
. Импортируйте функцию Out-Minidump в PoSh и создайте дамп памяти процесса LSASS:
Код:
Import-Module .\OutMiniDump.ps1
Get-Process lsass | Out-Minidump
Вы должны быть зарегистрированы для просмотра вложений
Получение паролей пользователей из файлов виртуальных машины и файлов гибернации
Также возможно извлечь пароли пользователей из файлов дампов памяти, файлов гибернации системы (hiberfil.sys) и. vmem файлов виртуальных машин (файлы подкачки виртуальных машин и их снапшоты).Для этого понадобится пакет Debugging Tool for Windows (WinDbg), сам mimikatz и утилита преобразования .vmem в файл дампа памяти (для Hyper-V это может быть vm2dmp.exe или MoonSols Windows Memory toolkit для vmem файлов VMWare).
Например, чтобы преобразовать файл подкачки vmem виртуальной машины VMWare в дамп, выполните команду:
Код:
bin2dmp.exe "winsrv2008r2.vmem" vmware.dmp
Код:
.load mimilib.dll
Вы должны быть зарегистрированы для просмотра вложений
И наконец, выполните:
Код:
.process /r /p fffffa800e0b3b30
!mimikatz
Вы должны быть зарегистрированы для просмотра вложений