我们最最经常用到的模块就是sekurlsa,这个模块可以从lsass.exe (Local Security Authority Subsystem Service)的内存中中提取密码、密钥、tickts等
在使用lsass这个进程的时候,mimikatz需要一些权限:
- Administrator权限, 获取调试权限的命令:
privilege::debug - 如果在一些后渗透工具中,你已经是SYSTEM权限了,就不需要去执行上述的命令
如果你没有访问lsass进程的权限,那你就抓不到密码,并显示如下错误:ERROR kuhl_m_sekurlsa_acquireLSA ; Handle on memory (0x00000005),当然除了使用minidump去提取转储文件的信息的场景。
上面两条其实就解释了,为什么我们mstsc进入桌面系统提取凭证的时候,需要以管理员权限启动cmd窗口,并要先执行privilege::debug了,而当我们使用CobaltStrike又或者Metasploit这类后渗透的框架去抓密码,是直接输入logonpasswds去抓取的,并没有去进行“提权”操作,如果通过计划任务、psexec的-s参数去提升权限来运行的话同理也是不需要提权操作的。
PREVIOUS介绍CobaltStrike新功能BOF
NEXTNTLM学习笔记