SMB攻击利用之-mimikatz上传/下载流量数据包逆向分析

SMB协议作为windows环境下最为常见的一种协议，在历史上出现过无数的通过SMB协议进行网络攻击利用的案例，包括针对SMB协议本身以及通过SMB协议实施网络攻击。

本文将介绍一种通过SMB协议的常见利用方式，即向远程主机传输mimikatz，作为我的专栏《SMB攻击流量数据包分析》中的一篇，这里，为日常安全运营，护网HVV，重保过程中遇到的关于类似的流量分析提供参考。

mimikatz

mimikatz 是用C语言编写一个Windows命令行工具，用于提取内存中的明文密码，hash和kerberos票据，是非常著名的网络安全工具，详见，这里。如下是使用mimikatz在本地提取内存中的明文密码：

mimikatz既然本地可以执行，那么远程也是可以被调用的，例如在之前的文章就介绍了psexec连接远程主机的命令行，详见之前的文章《PsExec使用过程介绍》，这里。因此在命令行中是可以启动mimikatz程序的，如下：