Mimikatz
Ziel der Einführung
Ziel dieser Einführung ist es, die grundlegende Funktionsweise von Mimikatz zu verstehen und verschiedene sicherheitsrelevante Aufgaben durchzuführen, wie das Extrahieren von Klartext-Passwörtern, das Ausführen von Pass-the-Hash-Angriffen und das Erhöhen von Rechten. Diese Einführung dient ausschließlich zu Schulungszwecken und zur Sensibilisierung für Sicherheitslücken.
Voraussetzungen
- Ein Windows-Rechner oder eine virtuelle Maschine.
- Administratorrechte auf dem Zielsystem.
- Die Mimikatz-Binärdatei, die heruntergeladen und entpackt wurde.
Schritt-für-Schritt-Anleitung
1. Vorbereitung und Installation
- **Mimikatz herunterladen:**
* Besuchen Sie das offizielle GitHub-Repository von Mimikatz: [1](https://github.com/gentilkiwi/mimikatz). * Laden Sie die neueste Version von Mimikatz herunter und entpacken Sie die ZIP-Datei an einem zugänglichen Ort auf Ihrem System.
- **Eingabeaufforderung als Administrator öffnen:**
* Klicken Sie mit der rechten Maustaste auf das Startmenü und wählen Sie **"Eingabeaufforderung (Administrator)"** oder **"Windows PowerShell (Administrator)"**, um ein Konsolenfenster mit Administratorrechten zu öffnen.
- **Mimikatz starten:**
* Navigieren Sie in der Eingabeaufforderung zu dem Verzeichnis, in dem Sie Mimikatz entpackt haben. * Starten Sie Mimikatz, indem Sie den folgenden Befehl eingeben:
```plaintext mimikatz.exe
2. Privilegien erhöhen
Debug-Rechte aktivieren: Um viele Mimikatz-Befehle ausführen zu können, müssen Debug-Rechte aktiviert werden. Geben Sie den folgenden Befehl ein: plaintext Code kopieren privilege::debug Wenn der Befehl erfolgreich ist, wird eine Bestätigung angezeigt, dass die Debug-Rechte gewährt wurden.
3. Klartext-Passwörter extrahieren
Passwörter im Klartext anzeigen: Um die im Speicher befindlichen Passwörter zu extrahieren, verwenden Sie den folgenden Befehl: plaintext Code kopieren sekurlsa::logonpasswords Mimikatz zeigt eine Liste der aktuell im Speicher befindlichen Anmeldeinformationen an, einschließlich Klartext-Passwörter, NTLM-Hashes und Kerberos-Tickets.
4. Pass-the-Hash-Angriff durchführen
Pass-the-Hash vorbereiten:
Notieren Sie sich den NTLM-Hash eines Benutzerkontos, das Sie verwenden möchten. Pass-the-Hash ausführen:
Verwenden Sie den folgenden Befehl, um eine neue Sitzung mit dem gestohlenen Hash zu erstellen: plaintext Code kopieren sekurlsa::pth /user:BENUTZERNAME /domain:DOMAENE /ntlm:NTLM-HASH /run:cmd.exe Ersetzen Sie BENUTZERNAME, DOMAENE und NTLM-HASH durch die entsprechenden Werte. Dieser Befehl startet eine neue Eingabeaufforderung mit den Berechtigungen des angegebenen Benutzerkontos.
5. Golden Ticket erstellen (Kerberos)
Kerberos-Ticket erstellen: Um ein "Golden Ticket" zu erstellen, das vollen Zugriff auf ein Active Directory ermöglicht, verwenden Sie den folgenden Befehl: plaintext Code kopieren kerberos::golden /user:BENUTZERNAME /domain:DOMAENE /sid:SID /krbtgt:KRBTGT-HASH /id:500 SID und KRBTGT-HASH müssen vorher extrahiert werden, z.B. durch die Nutzung anderer Mimikatz-Befehle. id:500 bezieht sich auf das Administrator-Konto.
6. Beenden von Mimikatz
Mimikatz sicher beenden: Nachdem Sie Ihre Aufgaben abgeschlossen haben, können Sie Mimikatz beenden, indem Sie den Befehl exit eingeben: plaintext Code kopieren exit Schließen Sie das Konsolenfenster.
Schutzmaßnahmen und Empfehlungen
Regelmäßige Sicherheitsüberprüfungen: Implementieren Sie regelmäßige Überprüfungen von Systemen, um sicherzustellen, dass keine unautorisierten Tools wie Mimikatz verwendet werden. Strenge Zugangskontrollen: Beschränken Sie den Zugriff auf Administratorrechte und stellen Sie sicher, dass nur autorisierte Benutzer über erweiterte Rechte verfügen. Schutz von Speicher und Prozessen: Verwenden Sie Sicherheitslösungen, die den Zugriff auf den Speicher und Prozesse einschränken, um die Ausführung von Tools wie Mimikatz zu verhindern.