这段时间,忙且累......
今天值班,特抽出时间将这个利器编译完成奉献给你们。
由于时间有限,不少内容就没展开写,等有时间了再写个长点的。
1、编译Mimikatzgit
Mimikatz是法国人benjamin开发的一款功能强大的轻量级调试工具,功能强大,可以直接读取Windows操做系统的明文密码;如今最新版本是2.2.0。
Mimikatz最新版一共三个文件(mimilib.dll、mimikatz.exe、mimidrv.sys),分为x86 32位(多了一个mimilove.exe)和X64位。
源码:https://github.com/gentilkiwi/mimikatz;
编译环境为:vs2019 v142 + WDK + SDK (均为10.0.18362.1);
下载连接:https://pan.baidu.com/s/1CnxqXD-N_Y2d5QU-fY1jaw,提取码:fzi6。
界面如图
运行如图中的两条命令,获得当前系统Win10的密码:
至于其它的命令方法,自行查找。
2、Windbg的插件:mimilib.dll
Mimilib是mimikatz的子工程,编译成功后生成文件mimilib.dll,包含多个导出函数:
在源码中列出了这些导出函数,对比ida看看:
至于函数里的内容,有兴趣的本身加载看。github
如下内容来自《嘶吼专业版》,我作了验证:windows
一、记录当前用户明文口令:sass
对应导出函数以下:SpLsaModeInitialize微信
使用方法:函数
将mimilib.dll保存至c:\windows\System32工具
修改注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\测试
注册表项Security Packages的值添加一个mimilibspa
从新启动系统。操作系统
进程lsass.exe将会加载mimilib.dll,同时在c:\windows\System32生成文件kiwissp.log,记录当前用户的明文口令,测试结果如图:
记录了登陆用户名和密码。
二、新修改的密码:
对应导出函数以下:
· InitializeChangeNotify、 PasswordChangeNotify
使用方法:
将mimilib.dll保存至c:\windows\System32
修改注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\
注册表项Notification Packages的值添加一个mimilib
从新启动系统。
进程lsass.exe将会加载mimilib.dll,当系统发生修改密码的事件时,在c:\windows\System32生成文件kiwifilter.log,记录用户新修改的明文口令,测试结果以下图:
三、Windbg延伸:
对应导出函数以下:
· WinDbgExtensionDllInit、
· ExtensionApiVersion、
· coffee、
· mimikatz
使用方法:
将mimilib.dll保存至WinDbg的winext目录。
个人测试环境(Win10-x64)路径为:C:\Program Files\Debugging Tools for Windows (x64)\winext,启动WinDbg。
加载插件的命令以下:.load mimilib
测试结果如图:
调用例子实例:!Coffee
其实内容还有不少,具体的看嘶吼公众号吧。
本文分享自微信公众号 - MicroPest(gh_696c36c5382b)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。