mimikatz工具

核心定位：专业级Windows安全审计与渗透测试工具

mimikatz工具是一款由法国安全研究员Benjamin Delpy开发、采用C语言编写的高权限Windows安全分析工具。它并非普通系统管理软件，而是内网渗透测试、红队演练与安全审计领域的标志性工具——可直接从LSASS进程内存中提取明文密码、NTLM哈希、Kerberos票据等敏感凭证，支持权限提升、服务控制、进程操作及系统深度信息枚举，广泛应用于企业安全评估、CTF实战与攻防研究场景。

为什么mimikatz在Win10/Win11环境中仍不可替代？

mimikatz在现代Windows系统（包括Windows 10/11）中依然具备强大实战价值：即使启用了Credential Guard等防护机制，它仍可通过多种绕过技术实现凭证转储；其轻量无依赖特性（单文件运行）、高度可定制化指令集及持续更新的兼容性适配，使其成为安全从业者验证域环境安全性、复现横向移动路径的核心利器。

高频实用命令速查（Win10/Win11兼容版）

version — 查看当前mimikatz版本号

system::user — 获取当前登录的用户账户信息

system::computer — 查询本机计算机名与域名信息

process::list — 列出全部运行中进程及其PID

process::suspend 进程名称 — 暂停指定进程（用于规避检测）

process::stop 进程名称 — 强制终止目标进程

process::modules — 显示系统核心模块加载路径与基址

service::list — 枚举所有Windows服务状态

service::remove 服务名称 — 卸载指定系统服务（慎用）

service::startstop 服务名称 — 启动或停止指定服务

privilege::list — 展示当前会话拥有的所有特权

privilege::enable — 激活特定特权（如SeDebugPrivilege）

privilege::debug — 快速提权至调试级别权限

nogpo::cmd — 绕过组策略限制，启动纯净CMD环境

nogpo::regedit — 直接调用注册表编辑器

nogpo::taskmgr — 启动任务管理器（适用于被禁用场景）

ts::sessions — 查看当前远程桌面/RDP会话列表

ts::processes — 显示各会话关联的进程及PID映射关系

sekurlsa::wdigest — 提取WDIGEST认证模块中的明文密码（含本地与域用户）

sekurlsa::kerberos — 导出Kerberos TGT/TGS票据及对应密钥

sekurlsa::tspkg — 获取远程桌面服务（Terminal Services）认证凭据

sekurlsa::logonpasswords — 一键汇总所有活动会话的完整登录凭证（推荐首选命令）

使用须知与安全提示

本工具仅面向持有合法授权的安全研究人员、渗透测试工程师及IT运维人员。请严格遵守《网络安全法》及所在组织的安全政策，在授权范围内使用；禁止用于未授权系统探测、数据窃取或恶意攻击行为。下载包已通过主流杀软兼容性优化，解压密码为：www.downyi.com