本文介绍了利用MS-SAMR协议修改和重置Windows域用户密码的方法,包括SetNTLM和ChangeNTLM。内容涵盖了利用条件、原理、实现方式(C语言和Python的Impacket库)以及检测和缓解措施。同时,讨论了在不同场景下的密码策略限制及其应对策略。
[TOC]
本文为Windows RPC利用系列文章的第一篇,主要介绍关于MS-SAMR的部分利用,在后续的文章中将继续介绍RPC在渗透测试中的应用
作者: Loong716@Amulab
在渗透测试过程中,经常遇到拿到用户的NTLM哈希但无法解密出明文密码的情况。本文介绍并分析一种在仅知道域用户密码哈希时修改用户密码,并在使用完后恢复用户原密码的方法。完成相应工具实现,提出检测方法和缓解措施。
PS:本文提出的场景在实战中也有很多其他的解决办法,但本文仅讨论与changentlm、setntlm相关的内容
0x00 利用
考虑以下几个场景:
- 我们拿下域控后,经常要搜集目标架构内用户的各种信息来寻找靶标,比如登录邮箱服务器、OA、NAS等可能使用域身份认证的系统
- 我们收集的攻击路径中的其中一环是利用某账户重置/修改目标账户密码
- 我们拿到某用户hash后,同样想通过该用户账户登录某系统,但目标系统不支持pth
我们虽然拿到了修改/重置密码的权限,但我们又不想直接修改目标用户的密码,因为这样用户在登录时就会发现自己的密码被修改了,此时有两种情况:
- 如果我们有重置密码权限就可以使用
SetNTLM来将用户密码重置 - 如果有hash的话可以使用
ChangeNTLM修改
登录目标系统后,再将目标密码还原
1. SetNTLM
该功能的效果是直接将域用户的密码或hash重置为新的密码或hash
(1) 利用条件
当前身份对要修改的用户有Reset Password权限
(2) Demo
假设我们此时拿到域控,想修改域内用户ntlmtest的密码来登录某系统,先Dcsync看一下用户当前的hash:
由于我们是域管了,基本上对目标用户都是有重置密码权限的,然后利用以下命令重置密码:
lsadump::setntlm /server:<DC's_IP_or_FQDN> /user:<username> /password:<new_password>
复制代码
登录目标系统以后,再通过以下命令还原密码:
lsadump::setntlm /server:<DC's_IP_or_FQDN> /user:<username> /ntlm:<Original_Hash>
复制代码
最低0.47元/天 解锁文章
扫一扫
389
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
