内网横传之哈希传递(Pass The Hash)
简介
Pass The Hash 即PTH,也是内网渗透中较未常见的一个术语,就是通过传递Windwos 本地账户或者域用户的hash值,达到控制其他服务器的目的
在进入企业内网之后,如果是Windows PC或者服务器较多的环境,极有可能会使用到hash传递来进行内网的横传,现在企业内部一般对于口令强度均有一定的要求,抓取到本地hash后可能无法进行破解,同时从Windows Vista和Windows Server 2008开始,微软默认禁用LM hash.在Windows Server 2012 R2及之后版本的操作系统中,默认不会在内存中保存明文密码,这时可以通过传递hash来进行横传。
适用场景:内网中大量主机密码相同。
原理
hash 传递的原理是在认证过程中,并不是直接使用用户的密码进行认证的,而是使用用户的hash值,因此,攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不需要提供明文密码。在Windows系统中,通常会使用NTLM身份认证,NTLM是口令加密后的hash值。PTH是基于smb服务(139端口和445 端口)。详细可以查看这篇文章进行了解。:https://www.4hou.com/posts/V0xO
哈希传递
msf hash 传递
现在有多种hash传递的方式,本篇文章使用msf 来进行hash传递,也没啥别的理由,就是因为操作比较简单,
hash 传递的模块
执行单个命令的PTH模块
auxiliary/admin/smb/psexec_command执行直接就获取到meterpreter的PTH模块
exploit/windows/smb/psexec支持对一个网段进行PTH进行验证的模块
exploit/windows/smb/psexec_psh
需要在高权限下才可以执行hashdump的操作,个人在使用merterpreter中自带的hashdump时总是报错,不知道为什么,错误提示的意思应该是权限不够,可是我都在系统权限下执行了还是报告,错误截图如下,目前还不知道原因
而使用其他模块却可以成功
run post/windows/gather/hashdump
hash值的部分就是图中500后面的值,第一个是LM,第二个是NTML,在实际操作中,经过实验,确定LM的值对错与否是不重要的,只要NTML的值正确即可。
下面这张图为exploit/windows/smb/psexec,使用时的配置,SMBPASS 就是抓取的hash.
可以看到执行成功后的效果
在测试时 win12 hash 抓取时候会报以下的报错,所有的模块都不好使,不知道为啥,而且跟UAC时没有关系的,因为hash传递之后获取就是system 权限的session了。
通过导入mimikatz可以成功导出
不过在msf 中使用mimikatz 有一点小小的插曲,因为之前没有在msf 中使用过mimikatz 所以相当不熟练,而且连实验都没有做过。
在msf中使用mimikatz
通过load mimikatz 进行导入,这里下面发黄的提示的工具kiwi就是msf内置的mimikatz模块的升级版,后续会进行学习的。
help mimikatz 查看帮助,执行命令的话就使用mimikatz_command 命令进行使用
mimikatz_command -f a:: 输入一个错误的模块,可以列出所有模块
获取hash的话就是
mimikatz_command -f samdump::hashes
总结
传递hash是在没办法获取密码时可以进行横传的方法,而且可以用在windows Server 2012以及之上版本的(笔者只实验了到了 2012) ,LM 的值对错对于是否能够传递hash无关。
参考
https://www.cnblogs.com/Xy–1/p/13216686.html
https://blog.csdn.net/fageweiketang/article/details/86580213
https://hackergu.com/metasploit-%E6%9D%83%E9%99%90%E4%B8%8Ehashdump%E4%B9%8B%E9%97%B4%E7%9A%84%E8%AE%A4%E8%AF%86/
http://www.xiaoheidiannao.com/70971.html
https://blog.csdn.net/weixin_45116657/article/details/103147716
内网横传之哈希传递(Pass The Hash)相关推荐
- 内网渗透之PPT票据传递攻击(Pass the Ticket)
文章目录 内网渗透之PPT票据传递攻击(Pass the Ticket) 前言 Kerberos 协议& Kerberos 认证原理 Kerberos 认证原理 ASREQ & ASR ...
- 内网横向渗透之各种传递攻击
内网横向渗透之各种传递攻击 前言 在前面一篇文章已经对内网信息收集做了详细介绍,所需要的内网环境也包含在那篇文章中,接下来将以前期内网信息收集到的信息为基础介绍各种明文或hash传递攻击进行横向渗透. ...
- 【内网安全】域横向smbwmi明文或hash传递
下面讲的是psexec&smbexec以及wimc&wmiexec 知识点1: windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码 windows20 ...
- 【内网安全】域横向PTHPTKPTT哈希票据传递
Kerberos协议具体工作方法,在域中,简要介绍一下: • 客户机将明文密码进行NTLM哈希,然后和时间戳一起加密(使用krbtgt密码hash作为密钥),发送给kdc(域控),kdc对用户进行检测 ...
- 内网域横向PTHPTKPTT哈希票据传递
内网域横向PTH&PTK&PTT哈希票据传递 文章目录 内网域横向PTH&PTK&PTT哈希票据传递 PTH,PTT,PTK概念: 总结:KB2871997 补丁后的影 ...
- 哈希传递PTH、密钥传递PTT、票据传递PTK的实现和比较
Mimikatz在本文章中会用到的命令 privilege::debug #提升权限 sekurlsa::logonpasswords #抓取密码信息 sekurlsa::msv #抓取LM.NTLM ...
- 0x02 内网渗透篇
来源如下图:(微信公众号:0x00实验室) 00 - 内网渗透的流程 拿到跳板后,先探测一波内网存活主机,用net user /domian命令查看跳板机是否在域内,探测存活主机.提权.提取hash ...
- 【内网渗透】域横向PTHPTKPTT哈希票据传递
目录 0x001 相关知识 0x002 域横向移动PTH NTML传递 0x003 域横向移动PTK aes256传递 0x004 域横向移动PTT哈希票据传递-ms14068&kekeo&a ...
- 内网横向移动|哈希传递PTH|mimikatz使用
Mimikatz下载地址:链接:https://pan.baidu.com/s/1k7i_Z_iGNbTgVeQiBKWszA 提取码:lyq1 工具简介: Mimikatz是法国人benjami ...
最新文章
- mac上的终端bash命令
- 思科交换机Debug调试命令
- 烂泥:nginx、php-fpm、mysql用户权限解析
- Ruby之Rspec的报错解决
- oracle preparedstatement,【JDBC】java PreparedStatement操作oracle数据库
- HEVC与3D-HEVC简介
- Realm及相关对象——《跟我学Shiro》
- pycharm 使用anaconda python编译器时添加available packages 显示nothing to show的解决办法
- python的for循环语句怎么写_python中的for循环语句怎么写
- Cesium应用篇:3控件(3)SelectionIndicator InfoBox
- HTML5 API详解(12):canvas画布API提供的内容很丰富啊~
- 鸿蒙有没有手机管家,鸿蒙2.0手机快了,华为EMUI 11透露关键信息
- android:Style and Theme
- 三调 图斑地类面积_关于三调,国土空间规划中至少需要这些知识
- STM32F7xx基于HAL库的USB_CDC接收数据的函数调用
- html设置长宽高代码_(HTML)图像的宽高和边框设置!
- 淘宝运营 DSR评分太低的影响 用补单的方法具体操作步骤,提高DSR评分
- FFmpeg获取视频的旋转角度
- 水星路由器上网设置服务器无响应,怎么防止路由器DNS被劫持弹出广告
- 水星无线网dns服务器是什么,水星(mercury)路由器上网方式选哪一个?