Mimikatz – приложение для Windows, позволяющее извлечь пароли из дампа памяти или файла гибернации. Для использования программы необходимо иметь права администратора.

Принцип работы

Для обеспечения безопасности паролей операционная система хранит их в виде хешей. Несмотря на то, что существуют специальные приложения для расшифровки, при использовании длинного и сложного ключа у злоумышленников мало шансов подобрать его методом брутфорса. Тем не менее, некоторые службы требуют пароль пользователя в открытом виде. К ним относится сервер проверки подлинности локальной системы безопасности или LSASS.

Данная программа использует уязвимость, связанную с недостаточной безопасностью пароля. Утилита способна извлечь данные из памяти и расшифровать их, получив таким образом ключ в открытом виде.

Перехват пароля

Для использования приложения необходимо выбрать исполняемый файл, соответствующий разрядности операционной системы, и запустить его от имени администратора. Затем следует последовательно ввести команды privilege::debug и sekurlsa::logonPasswords full. После этого на экране появится список активных юзеров и их паролей.

Для перехвата ключа из дампа памяти потребуется утилита PowerShell. Необходимо запустить терминал и ввести Get-Process lsass | Out-Minidump. После этого файл с расширением DMP будет сохранен в системной папке. Затем его следует перенести на другой компьютер и выполнить команду sekurlsa::minidump, указав в качестве аргумента имя дампа. Далее следует ввести sekurlsa::logonPasswords, после чего утилита отобразит список логинов и паролей.

Особенности

приложение можно скачать и использовать бесплатно;
утилита предназначена для перехвата пользовательских паролей;
есть возможность извлечь ключи из сохраненного дампа памяти;
доступна функция просмотра списка активных пользователей и их паролей в открытом виде;
программа совместима с актуальными версиями Windows.