book

Penetration testing mit mimikatz

Name: Penetration testing mit mimikatz
Author: Sebastian Brabetz
ISBN: 9783747501634

by Sebastian Brabetz

November 2020

Intermediate to advanced

240 pages

5h 23m

German

mitp Verlag

Read now

Unlock full access

Impressum
Vorwort
Kapitel 1: Einleitung
1.1 Ziel und Inhalt des Buchs1.2 Mehr als nur Klartextpasswörter1.3 Zielgruppe des Buchs und Voraussetzungen zum Verständnis1.4 Rechtliches1.5 Begrifflichkeiten und Glossar
Kapitel 2: Hintergrundinformationen zu mimikatz
2.1 Die erste Version von mimikatz2.2 Wie es zu der Open-Source-Veröffentlichung von mimikatz kam2.3 mimikatz 2.0: kiwi ... und eine neue Befehlsstruktur2.4 mimikatz und Metasploit2.5 Neue Features: das ‌Changelog im Blick behalten2.6 Verwendung von mimikatz in vergangenen Hacks
Kapitel 3: Eigene Lab-Umgebung aufbauen
3.1 Ein Labor muss nicht teuer sein3.2 Die Hardware3.2.1 Kompakt und stromsparend: der HP-MicroServer3.2.2 Über den Tellerrand: ‌Netzwerk-Sniffing3.3 Die Software: ‌Hypervisor3.3.1 VMware vSphere Hypervisor (ehemals ‌ESXi)3.4 Die Software: ‌Gastbetriebssysteme3.4.1 Aktuellste ‌Windows-Server-2016-Testversion für 180 Tage3.5 Die Windows-Domäne aufsetzen3.5.1 Der Domain Controller‌3.5.2 Der erste Member-Server:‌ ein Fileserver3.5.3 Aller guten Dinge sind drei! – Ein Admin-Sprunghost3.6 ‌Domänenberechtigungen3.6.1 Anlegen von Benutzern und Gruppen3.6.2 Berechtigung der Gruppe ServerAdmins3.6.3 Anlage und ‌Berechtigung der Fileshares3.6.4 Anlegen eines‌ Kerberos SPN3.7 Zusammenfassung
Kapitel 4: Grundlagen Windows LSA
4.1 Die ‌Credential-Architektur bei einem Domänenmitgliedssystem4.1.1 Lokale Authentifizierung gegen die lokale ‌SAM-Datenbank4.1.2 Domänenauthentifizierung gegen einen Domain Controller
Kapitel 5: Grundlagen Kerberos‌
5.1 Historie von Kerberos5.2 Grundlegende Funktionsweise von Kerberos in Windows-Domänen5.2.1 Die Clientauthentifizierung5.3 Zusammenfassung
Kapitel 6: Erste Schritte mit mimikatz
6.1 Vorbereiten von Windows für den ersten mimikatz-Start6.1.1 Virenscanner‌: das Katz-und-Maus-Spiel6.1.2 Deaktivieren des Windows Defender‌ in der Laborumgebung6.1.3 Herunterladen von mimikatz6.1.4 Erste Start- und Gehversuche6.1.5 Berechtigungen: ‌Debug-Privilegien6.2 Zusammenfassung
Kapitel 7: Angriffe mit mimikatz
7.1 Ausgangssituation7.2 ‌Klartextpasswörter7.3 Pass-the-Hash (PtH)7.3.1 Anwendung von PtH im Labor7.3.2 Besonders große Gefahr: ‌Local User Password Reuse7.3.3 Zusammenfassung Pass-the-Hash7.4 Overpass-the-Hash (OtH)‌‌/Pass-the-Key (PtK)7.4.1 Normale Funktionsweise der Kerberos-Ticket-Ausstellung7.4.2 ‌Overpass-the-Hash (OtH)7.4.3 ‌Pass-the-Key (PtK)7.5 Pass-the-Ticket (PtT)7.5.1 ‌Stehlen und Weiterleiten des User Ticket Granting Tickets (TGT)7.5.2 Stehlen und Weiterleiten des Service Tickets7.6 Dumpen von Kerberos-Geheimnissen auf Domain Controllern: ‌dcsync7.7 ‌Kerberos Golden Tickets7.7.1 Definition und Voraussetzung eines Golden Tickets7.7.2 Erstellung und Anwendung des Golden Tickets mit mimikatz im Labor7.7.3 ‌Abhängigkeiten bei der Erstellung von Golden Tickets7.7.4 Abhilfe bei kompromittiertem krbtgt-Account7.8 ‌Kerberos Silver Tickets7.8.1 Rotation der Computer$-Account-Passwörter7.8.2 Kerberos Service Principal Names7.8.3 Erstellung und Anwendung des Silver Tickets mit mimikatz im Labor7.8.4 Warum Silver Tickets verwenden?7.9 ‌Kerberoasting7.9.1 ‌Definition von Kerberoasting7.9.2 Ablauf der Kerberos-Authentifizierungsschritte, die Kerberoasting ermöglichen7.9.3 Technischer Ablauf des Kerberoasting7.9.4 Zusammenfassung Kerberoasting7.10 ‌Domain Cached Credentials (DCC)7.11 Zusammenfassung der Angriffe
Kapitel 8: mimikatz im Alltag
8.1 Invoke-Mimikatz‌8.1.1 Aktuelle Versionen von Invoke-Mimikatz8.1.2 Betrachten von Invoke-Mimikatz8.1.3 Ausführen von Invoke-Mimikatz8.1.4 PowerShell-Logging von Invoke-Mimikatz8.2 Aufruf von Invoke-Mimikatz mittels PowerLine‌ (AppLocker-Evasion)8.2.1 Vorbereiten der PowerLine.exe8.3 Unzählige weitere Möglichkeiten zur Ausführung von mimikatz

Kapitel 9: mimikatz erkennen
9.1 mimikatz-Ausführung mittels Yara in Memory Dumps erkennen9.1.1 Anfertigen eines Memory Dump9.1.2 Untersuchen des Memory Dump mit Yara unter Python9.2 mimikatz-Ausführung in ‌Windows-Logs erkennen – Sysmon9.2.1 Installation von Sysmon9.2.2 Erkennen der Ausführung von mimikatz in ‌Sysmon-Logs9.2.3 Erkennen der Ausführung von mimikatz mit ‌Windows-Standard-Logs9.3 mimikatz-Ausführung in PowerShell mit PowerShell-Logging erkennen9.3.1 Aktivieren des erweiterten PowerShell-Loggings9.3.2 Ausführen und Detektieren von Invoke-Mimikatz in PowerShell‌9.4 Weiterführende Ideen: ‌zentrales Logging9.4.1 Unterschiedliche Logging- und SIEM-Lösungen9.5 Zusammenfassung
Kapitel 10: Schlusswort
10.1 keko: ein neues Tool von Benjamin Delpy10.2 Weiterführende Informationen zur Active Directory Security
Kapitel 11: Glossar

Content preview from Penetration testing mit mimikatz

Kapitel 9: mimikatz erkennen

Bisher hat sich dieses Buch primär mit der offensiven Anwendung von mimikatz beispielsweise für Pentesting bzw. RedTeaming befasst. Es ist aber auch wichtig, zu wissen, wie man mimikatz erkennen kann, bzw. zu verstehen, welche Spuren es hinterlässt.

Sie benötigen dieses Wissen z.B. als Pentester, um länger unentdeckt zu bleiben und Ihre Angriffe an den Schutzmechanismen vorbeilaufen lassen zu können oder um im Bericht bessere Anleitungen zur Vermeidung solcher Angriffe zu geben.

Als Verteidiger ist es nützlich, zuerst das Verständnis zu erlangen, wo und wie man Spuren von Angriffen von Techniken, wie sie mimikatz ermöglicht, sehen und erheben kann, um daraus dann dauerhafte Alarmierungen zu kreieren.

Auch für einen ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Penetration Testing mit mimikatz -- Hacking-Angriffe verstehen und Pentests durchführen

Publisher Resources

ISBN: 9783747501634

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

Penetration testing mit mimikatz

by Sebastian Brabetz

Kapitel 9: mimikatz erkennen

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.