Tide安全團隊 - mimikatz的一些實戰小技巧－鑽石舞台

前言

最近在一些環境中使用mimikatz讀取密碼出現了些問題，簡單記錄下。

問題分類1、權限

這種情況就屬於權限不到位，雖然是管理員權限但是需要右鍵管理員權限啟動cmd

權限到位就沒問題。

2、 LSA 保護 (RunAsPPL)

在 Windows 上防止憑據盜竊時，啟用 LSA 保護應該是最簡單的方式，配置起來簡單又方便只需要在註冊表中添加個一個值然後重新啟動下即可。

啟用 LSA 保護 (RunAsPPL)：

（1）

打開註冊表編輯器:regedit.exe。

（2）

打開"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa"。

（3）

添加DWORD值RunAsPPL並將其設置為1並且重啟。

現在你已經成功開啟了LAS保護，mimikatz已經不能讀取憑證信息。

mimikatzprivilege::debug中的命令成功啟用；SeDebugPrivilege，但是命令sekurlsa::logonpasswords失敗並出現錯誤代碼0x00000005。要想知道錯誤代碼0x00000005的原因我們可以去查看源碼。

HANDLE hData = NULL;DWORD pid;DWORD processRights = PROCESS_VM_READ | PROCESS_QUERY_INFORMATION;kull_m_process_getProcessIdForName(L"lsass.exe", &pid);hData = OpenProcess(processRights, FALSE, pid);if (hData && hData != INVALID_HANDLE_VALUE) { // if OpenProcess OK} else { PRINT_ERROR_AUTO(L"Handle on memory");}

這段代碼中它首先獲取被調用進程的 PID，lsass.exe然後嘗試使用標誌和調用Win32函數來打開它（即獲取進程句柄），現在他的訪問被拒絕了所以我們的LSA保護成功打開了，成功阻止mimikatz讀取憑證。

繞過 RunAsPPL：

1、mimikatz驅動程序它可以阻止mimikatz，然而mimikatz也可以通過自身工具進行繞過,使用數字簽名的驅動程序來刪除內核中 Process 對象的保護標誌，但是需要文件mimidrv.sys必須位於當前文件夾中。

（1）、文件mimidrv.sys必須位於當前文件夾中。

（2）、

!+ !processprotect /process:lsass.exe /remove privilege::debug sekurlsa::logonpasswords

成功讀取憑證。2、SAM HKLM\SAM：包含用戶密碼的NTLMv2哈希值 HKLM\security:包含緩存的域記錄LSA secrets/LSA密鑰 HKLM\system-aka SYSKEY：包含可用於加密LSA secret和SAM數據庫的密鑰 SAM(安全賬戶管理器)，SAM用來存儲Windows操作系統密碼的數據庫文件，為了避免明文密碼泄露，SAM文件中保存的是明文密碼經過一系列算法處理過的Hash值。mimikatz 運行 lsadump :: sam 從磁盤上的SAM讀取憑據，可成功pypass LSA Protection。

privilege::debug token::whoami token::elevatelsadump::sam

成果讀取。

2、特殊情況

沒有LSA保護也不是權限問題。

報錯key import 解決起來也很簡單直接用老版本mimikatz（2.1.1）就可以了，至於原因暫時不清楚。

簡單記錄下幾個簡單的問題，主要是怕忘。

關

於

我

們

Tide安全團隊正式成立於2019年1月，是新潮信息旗下以互聯網攻防技術研究為目標的安全團隊，團隊致力於分享高質量原創文章、開源安全工具、交流安全技術，研究方向覆蓋網絡攻防、系統安全、Web安全、移動終端、安全開發、物聯網/工控安全/AI安全等多個領域。

團隊作為「省級等保關鍵技術實驗室」先後與哈工大、齊魯銀行、聊城大學、交通學院等多個高校名企建立聯合技術實驗室，近三年來在網絡安全技術方面開展研發項目60餘項，獲得各類自主知識產權30餘項，省市級科技項目立項20餘項，研究成果應用於產品核心技術研究、國家重點科技項目攻關、專業安全服務等。對安全感興趣的小夥伴可以加入或關注我們。