7、域渗透——Pass The Hash的实现

最新推荐文章于 2024-09-12 11:56:12 发布
最新推荐文章于 2024-09-12 11:56:12 发布
阅读量2.2k 收藏 6
点赞数
分类专栏: 【渗透测试高级篇】 # 域渗透

0x00 前言

在之前的文章《域渗透——Pass The Hash & Pass The Key》曾介绍过kb2871997对Pass The Hash的影响。本文将站在另一个角度,介绍Pass The Hash的相关实现

0x01 简介

本文将要介绍以下内容:

  • Pass The Hash的原理
  • 常用工具
  • mimikatz中的Pass The Hash
  • mimikatz中的Pass The Ticket

0x02 Pass The Hash的原理

可参考Wikipedia的介绍,地址如下:

https://en.wikipedia.org/wiki/Pass_the_hash

提取出关键信息:

  • 在Windows系统中,通常会使用NTLM身份认证
  • NTLM认证不使用明文口令,而是使用口令加密后的hash值,hash值由系统API生成(例如LsaLogonUser)
  • hash分为LM hash和NT hash,如果密码长度大于15,那么无法生成LM hash。从Windows Vista和Windows Server 2008开始,微软默认禁用LM hash
  • 如果攻击者获得了hash,就能够在身份验证的时候模拟该用户(即跳过调用API生成hash的过程)

注:

mimikatz支持导出内存中用户的LM hash,但前提是Windows系统支持LM hash

Windows Server 2008启用LM hash的方法:

gpedit.msc-计算机配置-Windows 设置-安全设置-本地策略-安全选项

找到网络安全︰ 不要在下次更改密码存储 LAN 管理器的哈希值,选择已禁用

系统下一次更改密码后,就能够导出LM hash

0x03 常用工具

当我们获得某个用户的口令hash,并且条件限定我们不去破解明文口令,实现Pass The Hash都有哪些工具呢?

1、Kali下的工具

(1) meterpreter
use exploit/windows/smb/psexec_psh
(2) 工具集

位于密码攻击-Passing the Hash下,如下图


包含多种利用工具

2、Windows系统下的工具

(1) python

wmiexec:

参考地址:

https://github.com/CoreSecurity/impacket/blob/master/examples/wmiexec.py

exe版本下载地址:

https://github.com/maaaaz/impacket-examples-windows

注:

wmiexec.py的注释中提示"Main advantage here is it runs under the user (has to be Admin) account",经实际测试普通用户权限即可

参数实例:

wmiexec -hashes 00000000000000000000000000000000:7ECFFFF0C3548187607A14BAD0F88BB1 TEST/test1@192.168.1.1 "whoami"

wmiexec.py的hash参数格式为LMHASH:NTHASH,由于该Hash来自于Server 2008,系统默认不支持LM hash,所以LM hash可以设定为任意值

(2) powershell

参考地址:

https://github.com/Kevin-Robertson/Invoke-TheHash/

支持多种方式

Invoke-WMIExec:

参数实例:

Invoke-WMIExec -Target 192.168.1.1 -Domain test.local -Username test1 -Hash 7ECFFFF0C3548187607A14BAD0F88BB1 -Command "calc.exe" -verbose

类似wmiexec.py

Invoke-SMBExec:

支持SMB1, SMB2 (2.1), and SMB signing

参数实例:

Invoke-SMBExec -Target 192.168.0.2 -Domain test.local -Username test1 -Hash 7ECFFFF0C3548187607A14BAD0F88BB1 -Command "calc.exe" -verbose

通过在目标主机创建服务执行命令,所以权限为system

Invoke-SMBClient:

支持SMB1, SMB2 (2.1), and SMB signing

如果只有SMB文件共享的权限,没有远程执行权限,可以使用该脚本

支持的功能包括列举目录、上传文件、下载文件、删除文件(具体权限取决于该口令hash的权限)

(3) mimikatz

Pass-The-Hash:

实际上为Overpass-the-hash

参数实例:

privilege::debug
sekurlsa::pth /user:test1 /domain:test.local /ntlm:7ECFFFF0C3548187607A14BAD0F88BB1

注:

mimikatz的pth功能需要本地管理员权限,这是由它的实现机制决定的,需要先获得高权限进程lsass.exe的信息

对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012,可以使用AES keys代替NT hash

Pass-The-Ticket:

考虑到mimikatz的pth功能需要本地管理员权限,所以mimikatz也提供了不需要管理员权限的解决方法Pass-The-Ticket

Pass-The-Ticket需要用到gentilkiwi开源的另一款工具kekeo,下载地址:

https://github.com/gentilkiwi/kekeo

参数实例:

kekeo "tgt::ask /user:test1 /domain:test.local /ntlm:7ECFFFF0C3548187607A14BAD0F88BB1"

执行后生成票据TGT_test1@TEST.LOCAL_krbtgt~test.local@TEST.LOCAL.kirbi

接下来导入票据:

kekeo "kerberos::ptt TGT_test1@TEST.LOCAL_krbtgt~test.local@TEST.LOCAL.kirbi"

0x04 小结

本文列举了多种实现Pass The Hash的工具,欢迎补充

FLy_鹏程万里
关注
专栏目录
JAVA实现空间索引编码——GeoHash的示例
09-01
在JAVA中实现GeoHash,我们可以按照以下步骤进行: 1. **编码过程**: - 首先,将纬度区间(-90, 90)和经度区间(-180, 180)不断均分为两个子区间,并根据地理位置落在哪个子区间内分配一个编码(0或1)。 - 继续这...
活动目录攻击工具推荐
weixin_30588827的博客
02-21 1165
Summary Tools Most common paths to AD compromise MS14-068 (Microsoft Kerberos Checksum Validation Vulnerability) Open Shares GPO - Pivoting with Local Admin & Passwords in SYSVOL Dumping...
看我横向打你内网--Pth&&Ptk
weixin_43227251的博客
04-13 279
Pass the Hash&&Pass The Key 微软在2014年5月13日发布了针对Pass The Hash的更新补丁kb2871997 在环境中,利用pass the hash渗透方式往往是这样的: 获得一台主机的权限 Dump内存获得用户hash 通过pass the hash尝试登录其他主机 继续搜集hash并尝试远程登录 直到获得管理员账户hash,登录控,最终成功控制整个 下面简要介绍一下Pass The Hash技术发展的几段历史 1、2012年12月
【PTH(pass the hash) 传递】
最新发布
m0_64237310的博客
09-12 696
在 pstools 中利用 psexec 可以在远程计算机上执行命令,其基本原理:通过管道在远程目标主机上创建一个 psexec 服务,并在本地生成一个 psexesvc 的二进制文件,然后通过 psexec 服务运行命令,运行结束后删除服务。使用 wmic 连接远程主机,需要目标主机开放 135 端口(wmic 默认的管理端口),445 端口(wmicexec 使用此端口传回显)。在 12server-01 上以管理员权限使用 mimikatz,hash利用上面获取的,成功调出终端。
渗透Pass-the-hash
ToyCarryYou的博客
04-24 1154
渗透 什么是AD AD的全称是Active Directory(活动目录) 是指windows服务器操作系统中的目录服务,它被包含在大多数windows sever操作系统中,负责集中式管理及身份认证。AD中是每个Windows网络的基石。他负责存储成员(包括设备和用户)的信息,验证其凭据并定义访问权限。运行此服务的服务器称为控制器。AD架构的常用对象包括以下四种 1.**组织单位...
Tryhackme-Overpass
个人博客
09-06 1288
Overpass 文章目录OverpassOverpassTask1 OverpassOverpass 2 - Hackedtask1 Forensics - Analyse the PCAPtask2 Research - Analyse the codetask3 Attack - Get back in!Overpass 3-HostingTask1 Overpass3 - Adventures in Hosting Overpass Task1 Overpass nmap扫描,靶机开启22-ssh
内网横传之哈希传递(Pass The Hash
11-25 7685
本文主要讲述如何使用msf 进行hash 传递以及遇到的一些问题
渗透.pdf
08-23
**渗透**是指通过一系列技术手段,在已获得一定访问权限的基础上,进一步扩大攻击范围,最终实现对整个环境的控制。渗透主要针对企业级网络环境,这些环境中通常部署了控(Domain Controller)系统来管理...
pass-the-hash meterial
10-27
pass-the-hash attack theory and implementation
PTH横向移动
网络安全。
02-24 4923
0x01 简介 PTH全称“pass the hash”,即hash传递。PTH通过smb服务进行,走445端口。 0x02 通过PTH横向移动 一、通过cobaltstrike进行PTH 1、在已上线机器中直接dir访问目标系统C盘,提示没权限。 beacon> shell dir \192.168.3.123\c$ 2、此处使用先前已获取的hash对目标administrator用户...
pth(pass the hash)哈希传递攻击
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
10-09 2876
pth(pass-the-hash)哈希传递攻击在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码/工作组环境账号hash内网中存在和当前机器相同的密码(ps:微软打了KB22871997补丁后只有Administrator(SID 500)可以PTH成功,默认windows server 2012后都会存在补丁)
PTH(PASS THE HASH
qq_63527808的博客
01-21 1020
2、NTLM 认证不使用明文口令,而是使用口令加密后的 hash 值,hash 值由系统 API 生成 3、hash 分为 LM hash 和 NT hash,如果密码长度大于15,那么无法生成 LM hash。6、微软也对 PTH 打过补丁,然而在测试中发现,在打了补丁后,常规的 PTH 已经无法成功,唯独默认的 Administrator(SID 500) 账号例外,利用这个账号仍可以进行 PTH 远程 ipc 连接。(2)可以获得 hash,但是条件不允许对 hash 爆破。
内网渗透TIPS总结
Javachichi的博客
03-13 791
更可靠:更少的宕机时间。可以简单的把理解成升级版的“工作组”,相比工作组而言,它有一个更加严格的安全管理控制机制,如果你想访问内的资源,就必须拥有一个合法的身份登陆到该中,而你对该内的资源拥有什么样的权限,还需要取决于你在该中的用户身份。通过成员主机,定位出 控制器 IP 及管理员账号,利用成员主机作为跳板,扩大渗透范围,利用管理员可以登陆中任何成员主机的特性,定位出管理员登陆过的主机 IP,设法从成员主机内存中 dump 出管理员密码,进而拿下控制器、渗透整个内网。
内网渗透PTH(pass-the-hash)
https://www.cnblogs.com/zpchcbd/
09-11 1699
pass-the-hash在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。 pass the hash原理: 在Windows系统中,通常会使用NTLM身份认证,NTLM认证不使用明文口令,而是使用口令加密后的hash值,hash值由系统API生成(例如LsaLogonUser) ,其中hash(哈希)分为...
渗透-凭据传递攻击(pass the hash)完全总结
weixin_30886233的博客
08-18 1257
总结下PtH具体形式(wmicexec、powershell、msf等) 0x01PtH攻击原理 &&黄金白银票据 PtH攻击原理 wikihttps://en.wikipedia.org/wiki/Pass_the_hash写的也很清楚 其中重要的是windows使用系统API(LsaLogonUser)生成...
内网横向移动|哈希传递PTH|mimikatz使用
qq_60115503的博客
04-25 5410
Mimikatz是法国人benjamin开发的一款强大的轻量级调式工具,本意是用来个人测试,但由于其功能强大,能够直接读取Windows-XP-2012等操作系统的明文密码而闻名于渗透测试,可以说是渗透必备工具
红队技巧-渗透的协议利用
qq_50854662的博客
03-27 1845
1.pth(hash传递) 1.1 PTH简介 哈希传递(pth)攻击是指攻击者可以通过捕获密码的hash值(对应着密码的值),然后简单地将其传递来进行身份验证,以此来横向访问其他网络系统,攻击者无须通过解密hash值来获取明文密码,因为对于每个Session hash值都是固定的,除非密码被修改了(需要刷新缓存才能生效),所以pth可以利用身份验证协议来进行攻击,攻击者通常通过抓取系统的活动内存和其他技术来获取哈希。 1.2 PTH限制 在03之后有了ua...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值