浸透测验人员对Pass-the-Hash(PtH)进犯都很了解。咱们常在浸透测验中用到它。假如你的责任包含网络侵略防护,你最少应当了解其进犯方法。不论你有多少经验,你对疑问了解得也许不深,或许还不知道它是怎样处理的,留意是“处理”而不是“修正”。
概述
进犯者经过必定方法获取了Windows计算机的本地办理员权限,能够在内存中寻觅其它本地或域内账户登录后的hash,由于电脑正在运行。这些hash能够“传递”(不需求破解)给其它的计算机或许效劳,作为一种认证方法。
这意味着,一开始只攻破一个看起来不主要的效劳器或工作站,由于域办理员账户为了履行一些支撑使命,登录了这个机器,就能够在更高的水平攻破全部域。
PtH的疑问
思考下面比较多见的场景:
一个主机被攻陷(没主要价值)。
可是本地administrator账户和其它一切主机的暗码一样。
进犯者从内存中获取了一切的hash,域办理员账户并不在里面。进犯者获取了一切的本地hash,包含administrator账号的。
进犯者运用获取的本地administrator的hash,运用PtH登录了其它的主机,然后重复这个进程(也被称为hash喷发进犯)。在这个进程中,会得到一个本地和域用户的hash列表。
终究,一个主机会在内存中包含一个有权限的域账户,能够用于拜访数据库,文件效劳器,以及域操控器,然后再次运用PtH。
PtH并不是一个缝隙运用技术,它是Microsoft Windows供给的一个特性。因而,没有补丁。下降PtH进犯的危险是能够的,可是它需求对认证权限横向阻隔。
域中对权限横向阻隔
下降PtH进犯的危险,实际上是给办理员账户赋予有限的安全鸿沟的疑问。或许能够这么了解,最小化一切支撑和办理账户的拜访规模。
要恪守的战略是,尽量削减黑客获取域内账户以后攻破其它效劳器或主机的数量。
比方,攻破一个开发主机以后,不应当走漏开发效劳器(或许商品效劳器,或许其它主机,或许域操控器)上的办理员账户。
下面是需求恪守的几个下降PtH进犯危险的过程:
第0步:根底
保证一切的效劳器、主机、笔记本或许其它敞开网络端口的设备都安全加固了,保证禁用LM hash。
保证设置了十分强的暗码战略。
请不要在任何地方重用暗码,包含效劳器或administrator账号。不要为效劳账号设置简略的暗码。
保证一切的本地administrator暗码都是仅有的。
这将使进犯者在你的网络难以安身。没有hash就无法施行PtH进犯。
第1步:
应当界说安全鸿沟,比方HR主机,开发主机,财务笔记本,DMZ效劳器,测验效劳器等等。越多越好。每个安全鸿沟都应当设置一个对这个组里的一切主机有办理员权限的域账户(绝不能够是administraotr)。这个用户应当装备成不能拜访其它主机或效劳,最主要的是它不能是网络中其它任何设备的办理员。
这么做的原理是,攻破一个安全鸿沟里的机器,并不会走漏其它的安全鸿沟。这是由于,任何被攻陷的高权限账号都无法拜访其它鸿沟内的主机。
第2步:
域administrator用户只能用于拜访域操控器。每次运用这个账户都会留下一些痕迹,缓存的账号或许是LSA密钥等等。
假如进犯者想方法攻破了域操控器,那么游戏就完毕了。一切的hash都能够提取,那时,PtH就变成了一个小疑问。
第3步:
效劳账户应当一事一议来思考,只分配效劳正常工作需求的权限。这在PtH进犯方面很有危险,咱们常常运用它。
定论
hash写入是咱们在浸透测验中常用的方法。它是网络浸透和拓展(也许也有提权)的一个有用方法。
正如前面评论的,hash写入并不是一个缝隙,可是是微软供给的一个会被乱用的特性。因而,它无法修正,可是能够下降危险。
这需求对域网络有一个合理的安全办理方法。
微软在2012年和2014年宣布了两篇文章,名为《Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques》和《Mitigating Pass the Hash Attacks and Other Credential Theft, version 2》,十分风趣也十分有用,连接如下:
Pass-the-Hash (PtH) – https://technet.microsoft.com/en-us/dn785092.aspx
最佳运用网络拜访操控,把拜访办理效劳(以及效劳器)的权限约束在需求的主机上,这不是银弹但却有用。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论