Mimikatz: Unterschied zwischen den Versionen

Ziel der Einführung

Ziel dieser Einführung ist es, die grundlegende Funktionsweise von Mimikatz zu verstehen und verschiedene sicherheitsrelevante Aufgaben durchzuführen, wie das Extrahieren von Klartext-Passwörtern, das Ausführen von Pass-the-Hash-Angriffen und das Erhöhen von Rechten. Diese Einführung dient ausschließlich zu Schulungszwecken und zur Sensibilisierung für Sicherheitslücken.

Voraussetzungen

• Ein Windows-Rechner oder eine virtuelle Maschine.
• Administratorrechte auf dem Zielsystem.
• Die Mimikatz-Binärdatei, die heruntergeladen und entpackt wurde.

Schritt-für-Schritt-Anleitung

1. Vorbereitung und Installation

• **Mimikatz herunterladen:**

 * Besuchen Sie das offizielle GitHub-Repository von Mimikatz: [1](https://github.com/gentilkiwi/mimikatz).
 * Laden Sie die neueste Version von Mimikatz herunter und entpacken Sie die ZIP-Datei an einem zugänglichen Ort auf Ihrem System.

Eingabeaufforderung als Administrator öffnen:**

 * Klicken Sie mit der rechten Maustaste auf das Startmenü und wählen Sie **"Eingabeaufforderung (Administrator)"** oder **"Windows PowerShell (Administrator)"**, um ein Konsolenfenster mit Administratorrechten zu öffnen.

• **Mimikatz starten:**

 * Navigieren Sie in der Eingabeaufforderung zu dem Verzeichnis, in dem Sie Mimikatz entpackt haben.
 * Starten Sie Mimikatz, indem Sie den folgenden Befehl eingeben:

```plaintext mimikatz.exe

2. Privilegien erhöhen

Debug-Rechte aktivieren: Um viele Mimikatz-Befehle ausführen zu können, müssen Debug-Rechte aktiviert werden. Geben Sie den folgenden Befehl ein: plaintext Code kopieren privilege::debug Wenn der Befehl erfolgreich ist, wird eine Bestätigung angezeigt, dass die Debug-Rechte gewährt wurden.

3. Klartext-Passwörter extrahieren

Passwörter im Klartext anzeigen: Um die im Speicher befindlichen Passwörter zu extrahieren, verwenden Sie den folgenden Befehl: plaintext Code kopieren sekurlsa::logonpasswords Mimikatz zeigt eine Liste der aktuell im Speicher befindlichen Anmeldeinformationen an, einschließlich Klartext-Passwörter, NTLM-Hashes und Kerberos-Tickets.

4. Pass-the-Hash-Angriff durchführen

Pass-the-Hash vorbereiten:

Notieren Sie sich den NTLM-Hash eines Benutzerkontos, das Sie verwenden möchten. Pass-the-Hash ausführen:

Verwenden Sie den folgenden Befehl, um eine neue Sitzung mit dem gestohlenen Hash zu erstellen: plaintext Code kopieren sekurlsa::pth /user:BENUTZERNAME /domain:DOMAENE /ntlm:NTLM-HASH /run:cmd.exe Ersetzen Sie BENUTZERNAME, DOMAENE und NTLM-HASH durch die entsprechenden Werte. Dieser Befehl startet eine neue Eingabeaufforderung mit den Berechtigungen des angegebenen Benutzerkontos.

5. Golden Ticket erstellen (Kerberos)

Kerberos-Ticket erstellen: Um ein "Golden Ticket" zu erstellen, das vollen Zugriff auf ein Active Directory ermöglicht, verwenden Sie den folgenden Befehl: plaintext Code kopieren kerberos::golden /user:BENUTZERNAME /domain:DOMAENE /sid:SID /krbtgt:KRBTGT-HASH /id:500 SID und KRBTGT-HASH müssen vorher extrahiert werden, z.B. durch die Nutzung anderer Mimikatz-Befehle. id:500 bezieht sich auf das Administrator-Konto.

6. Beenden von Mimikatz

Mimikatz sicher beenden: Nachdem Sie Ihre Aufgaben abgeschlossen haben, können Sie Mimikatz beenden, indem Sie den Befehl exit eingeben: plaintext Code kopieren exit Schließen Sie das Konsolenfenster.

Schutzmaßnahmen und Empfehlungen

Regelmäßige Sicherheitsüberprüfungen: Implementieren Sie regelmäßige Überprüfungen von Systemen, um sicherzustellen, dass keine unautorisierten Tools wie Mimikatz verwendet werden. Strenge Zugangskontrollen: Beschränken Sie den Zugriff auf Administratorrechte und stellen Sie sicher, dass nur autorisierte Benutzer über erweiterte Rechte verfügen. Schutz von Speicher und Prozessen: Verwenden Sie Sicherheitslösungen, die den Zugriff auf den Speicher und Prozesse einschränken, um die Ausführung von Tools wie Mimikatz zu verhindern.