一、mimikatz 介绍
Mimkatz主要用于内网渗透,其主要目的有:获取内存中的明文账户密码、协助(PTH、PTT、PAC绕过)等。
二、普通域用户权限下的影响
2.1 初始环境
域:learn.com
| 操作系统类型 | IP地址 | 本地账户/密码 | 域账户/密码 | 角色 |
| Win Server 2008 | 192.168.138.129 |
Administrator |
learn\Administrator |
DC域控 |
| Win 2003 |
网卡1:192.168.138.130 网卡2:192.168.47.159 |
Administrator root |
learn\win2003 win@2003 |
域内主机 |
2.2 普通域用户未加入本地管理员组-利用mimikatz获取信息对比
Windows 2003 :
本地管理员账户登入执行结果如下:
、 
域普通用户登入并执行结果如下:
域管理员账户登入并执行结果如下:
2.3 普通与用户加入本地管理员组-利用mimikatz获取信息对比
利用本地管理员账户登入 windows 2003,将 域用户 win2003 加入 windows 2003的本地管理员组中:
(具体步骤:开始-管理工具-计算机管理-本地用户和组-组)
选中 Administrators组 ——>右键——>添加到组——>添加
Windows 2003 :
利用 域普通用户 win2003登入并执行结果如下:
三、总结
| 账户 | 是否可以获取内存中的密码 |
| 本地管理员Administrator /root | 是 |
|
域普通用户(未加入本地管理员组) |
否 |
|
域管理员 learn/Administrator |
是 |
| 域普通用户(加入了本地管理员组) | 是 |
3.1 分析
由上结果可知:只要由本地管理员权限(加入本地管理员组),即可成功获取信息!
1、为什么域管理员也可以获取信息?难道也加入了本地管理员组吗?
在 windows 2003的本地用户和组的配置中发现 LEARN\Domain Admins(域管理员组):
这是当时配置win2003主机加入域的时候,系统自己默认加入的,并非手工配置的!!!
所以:要想成功执行mimikatz就必须取得本地管理员组中的用户权限。
【注】:在实际工作环境中,IT部会将员工个人域账户加入到本地管理员组中,所以你懂的啦!!!
另推荐几篇 mimikatz安全研究的文章:
来源:freebuf.com 2020-11-11 18:07:10 by: Redeem呐HU
请登录后发表评论
注册