Entry № 761
Mimikatz
Mimikatz 是什么?
Mimikatz开源 Windows 后渗透工具,从内存和 LSASS 中提取明文密码、哈希、Kerberos 票据等凭据。
Mimikatz 是由 Benjamin Delpy(gentilkiwi)开发的凭据获取工具,用于揭示 Windows 身份验证的根本弱点,尤其是在 LSASS 内存以及 SSPI 提供程序(WDigest、Tspkg、Kerberos、MSV)中。它能转储凭据、伪造 Kerberos 黄金票据与白银票据、执行 pass-the-hash 与 pass-the-ticket,并操控证书。虽然最初是研究项目,但已成为红队工具箱的核心,获得初始域内访问后也常被勒索软件团伙滥用。现代 Windows 防护(Credential Guard、LSA 保护、EDR、Restricted Admin、分级管理)能显著降低其威力,但它仍是检测工程的重要基准。
● 示例
- 01
执行 sekurlsa::logonpasswords 从 LSASS 内存镜像中转储凭据。
- 02
在攻陷 krbtgt 账户后,使用 kerberos::golden 伪造黄金票据。
● 常见问题
Mimikatz 是什么?
开源 Windows 后渗透工具,从内存和 LSASS 中提取明文密码、哈希、Kerberos 票据等凭据。 它属于网络安全的 防御与运营 分类。
Mimikatz 是什么意思?
开源 Windows 后渗透工具,从内存和 LSASS 中提取明文密码、哈希、Kerberos 票据等凭据。
如何防御 Mimikatz?
针对 Mimikatz 的防御通常结合技术控制与运营实践,详见上方完整定义。
Mimikatz 还有哪些其他名称?
常见的别称包括: mimi, kekeo, Invoke-Mimikatz。