一、Mimikatz简介

Mimikatz 是由法国安全研究员 Benjamin Delpy 开发的一款强大的 Windows 认证信息提取工具。它可以从 Windows 设备的内存中提取明文密码、哈希值、PIN 码和 Kerberos 票据，广泛用于渗透测试和网络安全研究。自 2007 年发布以来，Mimikatz 逐渐成为网络攻击和防御领域的重要工具之一，被红队、安全研究员以及攻击者频繁使用。

二、Mimikatz 的核心功能

Mimikatz 之所以被广泛应用，是因为它具备多个强大的功能，主要包括以下几类：

1. 读取明文密码

Mimikatz 通过 sekurlsa::logonpasswords 命令，能够从 Windows 内存中提取当前登录用户的明文密码。这是 Mimikatz 最具代表性的功能之一，在 Windows 7 及更早版本的系统上可以直接获取明文密码，而在 Windows 8 及以上版本中，微软增加了保护机制，需要管理员权限或 SYSTEM 级别权限来提取数据。

2. 读取 NTLM 哈希（lsadump::sam）

NTLM 哈希值是 Windows 用于存储用户密码的一种加密格式。Mimikatz 可以从 SAM（Security Account Manager）数据库中提取这些哈希值，之后攻击者可以利用 Hashcat 等工具进行离线破解，或者直接利用 Pass-the-Hash（PTH）技术进行身份冒充。

3. Pass-the-Hash（pth）

Pass-the-Hash（PTH）是一种利用 NTLM 哈希进行身份认证的技术，无需明文密码即可访问受保护的系统。Mimikatz 通过 sekurlsa::pth 命令，允许攻击者使用窃取的哈希值直接登录目标系统，从而绕过密码输入步骤，获得权限访问。

4. Pass-the-Ticket（Kerberos 票据传递攻击）

Kerberos 认证系统使用票据（Ticket）进行身份验证，Mimikatz 允许攻击者导出、导入或伪造 Kerberos 票据，实现“Pass-the-Ticket”攻击。攻击者可以利用 kerberos::list 命令列出当前会话的 Kerberos 票据，并使用 kerberos::ptt 命令加载票据，冒充合法用户访问系统资源。

5. Golden Ticket（黄金票据攻击）

Golden Ticket 是 Mimikatz 最具威胁性的功能之一。它允许攻击者伪造 Kerberos 票据授予票据（TGT），以域管理员身份访问整个域。攻击者只需要获取域控（Domain Controller）上的 KRBTGT 账户哈希值，就能生成长期有效的票据，几乎无法被检测到。

6. Silver Ticket（白银票据攻击）

Silver Ticket 与 Golden Ticket 类似，但它针对的是特定的服务，而不是整个域。攻击者可以伪造 Kerberos 服务票据（TGS），直接访问目标服务（如 SQL 服务器、文件共享等），减少被检测的可能性。

7. Dump LSASS 进程（lsass.exe）

Mimikatz 可以通过 sekurlsa::minidump 命令转储 Windows 认证进程（lsass.exe），然后在离线环境中分析并提取凭据信息。这种方法通常用于规避实时检测。

三、Mimikatz 的使用方法

要使用 Mimikatz，需要先获得管理员权限，并在具有 Debug 权限的情况下运行它。具体的使用步骤如下：

1.下载Mimikatz

登录Github

https://github.com/ParrotSec/mimikatz

Mimikatz在杀软眼中就是病毒木马，在做实验过程中要关闭杀软或添加排除项。在实际攻击过程中，需要做免杀。

2.解压mimikatz-master.zip

3.以管理员身份运行mimikatz.exe

4.获取NTML哈希

从内存中读取输入privilege::debug输入sekurlsa::logonpasswords

解密NTLM，可以看出密码一定要设置足够复杂，或定期更改密码，防止被破解。

也可以从SAM数据库中读取输入privilege::debug输入token::elevate输入lsadump::sam

5.其它命令

Pass-the-Hash 攻击sekurlsa::pth /user:Administrator /domain:target.local /ntlm:<NTLM HASH>获取 Kerberos 票据kerberos::list使用黄金票据kerberos::golden /user:Administrator /domain:target.local /sid:S-1-5-21-xxxx /krbtgt:<KRBTGT HASH>

四、Mimikatz 的防御措施

由于 Mimikatz 主要利用 Windows 认证机制中的漏洞，因此针对 Mimikatz 的防御措施通常集中在加强系统安全配置和监测攻击行为上。

1. 启用 LSA 保护（Credential Guard）

Windows 10 和 Windows Server 2016 及以上版本支持 Credential Guard，可使用虚拟化技术保护 LSA 进程，防止 Mimikatz 读取凭据。启用方式：

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "RunAsPPL" -Value 1

2. 限制高权限访问

●限制本地管理员权限，防止攻击者轻易提升权限运行 Mimikatz。

●禁用 NTLM 认证，强制使用 Kerberos 认证。

3. 监控 LSASS 进程

可以使用 Windows 事件日志（Event ID 4624, 4672, 4688）监控异常登录行为，并结合 SIEM 进行分析。

4. 定期更改 KRBTGT 账户密码

针对 Golden Ticket 攻击，企业应定期更改 KRBTGT 账户密码，防止长期滥用。

5. 使用 EDR/XDR 进行检测

可以检测 Mimikatz 的行为模式，及时发现异常。

五、总结

Mimikatz 是一款强大的密码提取工具，在网络安全攻防中占据重要地位。它不仅帮助红队和渗透测试人员评估 Windows 系统的安全性，也被攻击者广泛利用。因此，安全管理员需要深入了解 Mimikatz 的工作原理，并采取适当的防御措施，防止凭据泄露和身份冒用。

在当前的网络环境下，企业应结合多层安全防护策略，如启用 LSA 保护、监测 LSASS 进程活动、限制高权限账户使用、使用 EDR/XDR 进行实时防御，才能有效降低 Mimikatz 带来的风险。

阅读原文：原文链接