内网渗透-传递Hash
-
Mimikatz
-
wmiexec
第一种:
第二种:
-
CrackMapExec
描 述
pass-the-hash在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。
PTH 原理
在Windows系统中,通常会使用NTLM身份认证
NTLM认证不使用明文口令,而是使用口令加密后的hash值,hash值由系统API生成(例如LsaLogonUser)
hash分为LM hash和NT hash,如果密码长度大于15,那么无法生成LM hash。从Windows Vista和Windows Server 2008开始,微软默认禁用LM hash
如果攻击者获得了hash,就能够在身份验证的时候模拟该用户(即跳过调用API生成hash的过程)
适用场景
域/工作组环境
可以获得hash,但是条件不允许对hash爆破
内网中存在和当前机器相同的密码
说 明
微软也对pth打过补丁,然而在测试中发现,在打了补丁后,常规的Pass The Hash已经无法成功,唯独默认的Administrator(SID 500)账号例外,利用这个账号仍可以进行Pass The Hash远程ipc连接。
如果禁用了ntlm认证,PsExec无法利用获得的ntlm hash进行远程连接,但是使用mimikatz还是可以攻击成功。
从windows到windows横向pth这一类攻击方法比较广泛;
Mimikatz
描 述
mimikatz是一款强大的系统密码破解获取工具。该工具有段时间是作为一个独立程序运行。现在已被添加到Metasploit框架中,并作为一个可加载的Meterpreter模块。当成功的获取到一个远程会话时,使用mimikatz工具可以很快的恢复密码。
功 能
mimikatz的pth功能需要本地管理员权限,这是由它的实现机制决定的,需要先获得高权限进程lsass.exe的信息
对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012,可以使用AES keys代替NT hash
使用mimikatz先获取hash:
privilege::debug
sekurlsa::logonpasswords
得到hash后
sekurlsa::pth /user:administrator /domain:workgroup /ntlm:ccef208c6485269c20db2cad21734fe7
可以看到NTML hash已经对workgroup使用,这样的话访问远程主机或服务,就不用提供明文密码
pass the hash成功~
结束!!!
欲知后面内容,且听下回分解!!!
我这么胖,
你为什么还这么喜欢我?
你瘦的时候进我心里,
胖的时候就卡住出不来了
天街夜色凉如水
卧看牵牛织女星
想起炎黄五千年
梦回安全佑神州
原文始发于微信公众号(安全小圈圈):内网渗透-传递Hash 01
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论