mimikatz Mimikatz 攻防杂谈

出发地:正途(微信:xazlsec)

前几天看到一个外国人关于mimikatz辩护的文章。感觉写作思路不错，但是内容有点不足。国内也有一个翻译，但是只是根据错误翻译的，于是我就生出了那篇优秀的文章，翻译转载，还加了一些其他的内容。本文只是参考。如果这篇文章有错误，请吐出来。

Mimikatz是内部网渗透中非常有用的工具。它可能允许攻击者从内存中获取明文密码。大家都知道这个工具很强大，微软当然也知道，所以做了一些安全防护机制，让mimikatz抓不到密码。然而，在win2008之前的系统上仍然可以捕获密码。一般只要有本地管理员权限，就可以从内存中抓取密码。通常掌握密码后，就可以横向移动，提取权限。

调试权限

在windows中，调试权限可以用来调试进程，甚至内核。对于mimikatz来说，一般来说，如果他想读取内存，他必须获得调试权限，然后打开进程。默认情况下，本地管理员组被授予此权限。但是，除非管理员是程序员，否则一般不应该使用这个权限。

默认情况下，本地安全策略授予管理员组权限。

但是，此项中未定义域默认组策略。

根据windows策略的有效性级别，最终拥有该权限的是管理员组。

补充有效性级别:

默认情况下，当多个策略不冲突时，合并多个策略；如有冲突，适用->更高优先级，优先级由低到高依次为本地策略->:站点策略->:域策略->:ou策略不同配置对mimikatz的影响

默认情况下，成功获得调试权限。

将具有调试权限的组设置为空。注销并再次登录。

运行mimikatz未能获得调试权限。

WDigest

WDigest协议早在xp时代就已经推出了。当时，该协议被设计为在lsass中存储明文密码，用于http认证。默认情况下，在win2008之前启用默认值。然后攻击者可以从中获得明文。

但是在win2008之后的系统上，默认情况下是关闭的。如果win2008之前的系统使用KB2871997修补，则可以启用或禁用WDigest，并配置以下键值:

HKEY _本地_机器系统当前控制控制安全提供程序摘要

UseLogonCredential值设置为0，wdigest不会在内存中缓存凭据；当UseLogonCredential值设置为1时，WDigest会将凭据缓存在内存中。

不同构型对mimikatz的影响

启用缓存并直接抓取明文很舒服。

关闭缓存后，重新启动，然后catch，但没有捕获到任何内容。

凭据缓存

域缓存凭据被称为DDC，也称为mscache。有两个版本，XP/2003叫第一代，Vasta/2008叫第二代。

加入域后，计算机必须通过kerberos进行身份验证，域控制器必须参与kerberos身份验证。但是如果域成员暂时无法访问域控制器，是否可以不进行身份验证？域凭据缓存就是为了解决这个问题。如果您暂时无法访问域控制，windows将尝试使用本地缓存的证书进行身份验证，默认缓存是十个。

缓存位置(默认本地管理员无权访问):

HKEY _本地_机器安全缓存

如果修改的组策略缓存数量为0，则表示没有缓存。

不同构型对mimikatz的影响

默认配置缓存为10。登录本地管理员，授予系统权限，然后运行mimikatz，成功捕获mscachev2。

将缓存号设置为0，停止域控制，然后登录到域帐户。域成员发现他们无法登录。

登录本地管理员账号，解压到系统，然后一无所获。

受保护用户组

受保护的用户组可用于使具有高权限的用户(如本地管理员)仅通过kerberos进行身份验证(比率为6)。这是win2012之后引入的新安全组(win2008之前的系统会打KB2871997的补丁来增加这个安全组)。为了防止明文存储在内存中和ntlm哈希被泄露(因为它是通过kerberos验证的，所以不会泄露net ntlm哈希)。这种配置比较简单。只需将你要保护的用户添加到该组即可(由于本机硬件限制，无法复制。如果你运行一个win2016，然后运行一个win10，你不能得到卡)。