這段時間,忙且累......
今天值班,特抽出時間將這個利器編譯完成奉獻給你們。
由於時間有限,不少內容就沒展開寫,等有時間了再寫個長點的。
1、編譯Mimikatzgit
Mimikatz是法國人benjamin開發的一款功能強大的輕量級調試工具,功能強大,可以直接讀取Windows操做系統的明文密碼;如今最新版本是2.2.0。
Mimikatz最新版一共三個文件(mimilib.dll、mimikatz.exe、mimidrv.sys),分爲x86 32位(多了一個mimilove.exe)和X64位。
源碼:https://github.com/gentilkiwi/mimikatz;
編譯環境爲:vs2019 v142 + WDK + SDK (均爲10.0.18362.1);
下載連接:https://pan.baidu.com/s/1CnxqXD-N_Y2d5QU-fY1jaw,提取碼:fzi6。
界面如圖
運行如圖中的兩條命令,獲得當前系統Win10的密碼:
至於其它的命令方法,自行查找。
2、Windbg的插件:mimilib.dll
Mimilib是mimikatz的子工程,編譯成功後生成文件mimilib.dll,包含多個導出函數:
在源碼中列出了這些導出函數,對比ida看看:
至於函數裏的內容,有興趣的本身加載看。github
如下內容來自《嘶吼專業版》,我作了驗證:windows
一、記錄當前用戶明文口令:sass
對應導出函數以下:SpLsaModeInitialize微信
使用方法:函數
將mimilib.dll保存至c:\windows\System32工具
修改註冊表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\測試
註冊表項Security Packages的值添加一個mimilibspa
從新啓動系統。操作系統
進程lsass.exe將會加載mimilib.dll,同時在c:\windows\System32生成文件kiwissp.log,記錄當前用戶的明文口令,測試結果如圖:
記錄了登陸用戶名和密碼。
二、新修改的密碼:
對應導出函數以下:
· InitializeChangeNotify、 PasswordChangeNotify
使用方法:
將mimilib.dll保存至c:\windows\System32
修改註冊表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\
註冊表項Notification Packages的值添加一個mimilib
從新啓動系統。
進程lsass.exe將會加載mimilib.dll,當系統發生修改密碼的事件時,在c:\windows\System32生成文件kiwifilter.log,記錄用戶新修改的明文口令,測試結果以下圖:
三、Windbg延伸:
對應導出函數以下:
· WinDbgExtensionDllInit、
· ExtensionApiVersion、
· coffee、
· mimikatz
使用方法:
將mimilib.dll保存至WinDbg的winext目錄。
個人測試環境(Win10-x64)路徑爲:C:\Program Files\Debugging Tools for Windows (x64)\winext,啓動WinDbg。
加載插件的命令以下:.load mimilib
測試結果如圖:
調用例子實例:!Coffee
其實內容還有不少,具體的看嘶吼公衆號吧。
本文分享自微信公衆號 - MicroPest(gh_696c36c5382b)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。