一.PTH简介
hash传递,不需要明文密码即可登陆
1.原理
在网络认证中,是不需要明文密码的(例子:win7连server08)
1)win7将用户的账号密码发给server08
2)08判断用户是否存在,若存在则生成challenge,和在sam中存储的用户ntmlhash加密成新的challenge1,然后将生成的challenge发给win7
3)win7拿到后,先把刚开始输的密码加密成ntlmhash,接着和server发来的challenge加密成challenge2,然后发给server08
4)server08拿到后验证challenge2是否等于challenge1,若等于则登陆成功
以上,全过程中可以不用明文密码,使用hash即可(2014年发布补丁后,只有工作组的administrator和域管用户可以远程连接)
二.metasploit psexec
win7上线后hashdump,查看ntlmhash
然后使用psexec模块
移动成功(如果是域的话,在设置里边加上域就行)
然后给server上传后门,继续连接,hashdump查看,以此类推,直到找到域管hash
也可以使用impacket中的psexec进行传递
三.mimikatz hash传递
也可以叫ptk,不同于psexec的是 mimikatz会在本机上打开一个cmd窗口,然后通过命名管道将目标hash注入到本机上开的cmd进程上,这样就可以在本机上的cmd对目标进行控制
mimikatz.exe "privilege::debug" "sekurlsa::pth /user:administrator /domain:192.168.8.133/ntlm:xxx" exit
域的话domain写域名,工作组的话写目标ip,但是不能没有
后续可以把本机上的木马复制过去,实现cmf上线,然后进行psexec之类
四.cs hash传递
需要创建两个监听,一个反向连接攻击机,一个准备横向移动到server 08的正向监听,上线win7后,进行存活扫描,扫到server 08,于是进行横向移动
win7上线后先hashdump和logonpasswords获取明文密码和hash
这里密码写hash即可