Mimikatz内网渗透之信息获取与域用户权限研究 – 作者:Redeem呐HU

一、mimikatz 介绍

Mimkatz主要用于内网渗透,其主要目的有:获取内存中的明文账户密码、协助(PTH、PTT、PAC绕过)等。

二、普通域用户权限下的影响

2.1 初始环境

域:learn.com

操作系统类型 IP地址 本地账户/密码 域账户/密码 角色
Win Server 2008 192.168.138.129

Administrator

[email protected]

learn\Administrator

[email protected]

DC域控
Win 2003

网卡1:192.168.138.130

网卡2:192.168.47.159

Administrator

root

learn\win2003

win@2003

域内主机

2.2 普通域用户未加入本地管理员组-利用mimikatz获取信息对比

Windows 2003 :

本地管理员账户登入执行结果如下:

1605086182_5fababe6d421358e8c3b0.png!small?1605086180673

、   1605083975_5faba347509afa371dbb0.png!small?1605083973265

域普通用户登入并执行结果如下:

1605084164_5faba40493237bb2d1d3c.png!small?1605084162417

域管理员账户登入并执行结果如下:

1605084446_5faba51e4f2bf36f99a55.png!small?1605084444145

1605084582_5faba5a62b968e372698c.png!small?1605084580019

2.3 普通与用户加入本地管理员组-利用mimikatz获取信息对比

利用本地管理员账户登入 windows 2003,将 域用户 win2003 加入 windows 2003的本地管理员组中:

(具体步骤:开始-管理工具-计算机管理-本地用户和组-组)

选中 Administrators组 ——>右键——>添加到组——>添加

1605085183_5faba7ff0211b9193b9da.png!small?1605085180802

Windows 2003 :

利用 域普通用户 win2003登入并执行结果如下:

1605085511_5faba9475e282c5bc0c6f.png!small?1605085509220

1605085726_5fabaa1ec35415ffb666b.png!small?1605085724650

三、总结

账户 是否可以获取内存中的密码
本地管理员Administrator /root

域普通用户(未加入本地管理员组)

域管理员 learn/Administrator

[email protected]

域普通用户(加入了本地管理员组)

3.1 分析

由上结果可知:只要由本地管理员权限(加入本地管理员组),即可成功获取信息!

1、为什么域管理员也可以获取信息?难道也加入了本地管理员组吗?

在 windows 2003的本地用户和组的配置中发现 LEARN\Domain Admins(域管理员组):

这是当时配置win2003主机加入域的时候,系统自己默认加入的,并非手工配置的!!!

1605086694_5fabade69e4e953d69ad7.png!small?1605086692398

1605086961_5fabaef1532bfd358a87d.png!small?1605086959200

所以:要想成功执行mimikatz就必须取得本地管理员组中的用户权限。

【注】:在实际工作环境中,IT部会将员工个人域账户加入到本地管理员组中,所以你懂的啦!!!

另推荐几篇 mimikatz安全研究的文章:

防御Mimikatz攻击的方法介绍

Mimikatz 攻防杂谈_mimikatz

如何防御“神器”Mimikatz窃取系统密码?

来源:freebuf.com 2020-11-11 18:07:10 by: Redeem呐HU

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论