实现域穿透——通过哈希

0x00 前言

之前的文章《域渗透——Pass The Hash Pass The Key》介绍了kb2871997对Pass Hash的影响。本文将从另一个角度介绍传递Hash的相关实现。

0x01 简介

本文将介绍以下内容：

传递散列的原理

常用工具

在mimikatz中传递散列

在米米卡茨通过票

0x02 Pass The Hash的原理

你可以参考维基百科的介绍，地址如下：

https://en.wikipedia.org/wiki/Pass_the_hash

提取关键信息：

在Windows系统上，通常使用NTLM身份验证。

NTLM认证不使用明文密码，而是使用密码加密的哈希值，哈希值由系统API(例如LsaLogonUser)生成

哈希分为LM哈希和NT哈希。如果密码长度大于15，则无法生成LM哈希。对于Windows Vista和Windows Server 2008，默认情况下，Microsoft禁用了LM哈希。

如果攻击者得到了哈希，他就可以在身份验证时模拟用户(即跳过调用API生成哈希的过程)。

注：

Mimikatz支持导出内存中用户的LM哈希，但前提是Windows系统支持LM哈希。

Windows Server 2008启用LM哈希的方法；

Gpedit.msc-计算机配置-Windows设置-安全设置-本地策略-安全选项

查找网络安全：下次不要更改密码存储局域网管理器的哈希值，选择禁用。

下次更改密码后，可以导出LM哈希。

0x03 常用工具

当我们得到一个用户的密码hash，并且条件限制我们破解明文密码时，有哪些工具可以实现传递Hash？

1、Kali下的工具

(1) meterpreter

使用exploit/windows/smb/psexec_psh

(2) 工具集

在密码攻击下-传递散列，如下所示

包括各种利用工具。

2、Windows系统下的工具

(1) python

wmiexec：

参考地址：

https://github . com/core security/im packet/blob/master/examples/wmiexec . py

Exe版本下载地址：

https://github.com/maaaaz/impacket-examples-windows

注：

wmiexec.py的评论中提示“这里的主要优点是它在用户(必须是管理员)帐户下运行”，普通用户权限可以在实践中测试。

参数示例：

wmiexec-hashes 000000000000000000000000000000:7 ecffff 0 c 3548187607 a 14 bad 0 f 88 bb 1 TEST/test1 @ 192 . 168 . 1 . 1 ' whoami '

wmiexec.py的Hash参数的格式为lm Hash:n Hash。因为hash来自Server 2008，系统默认不支持LM hash，所以LM hash可以设置为任意值。

(2) powershell

参考地址：

https://github.com/Kevin-Robertson/Invoke-TheHash/

支持多种方式。

Invoke-WMIExec：

参数示例：

invoke-WMIExec-Target 192 . 168 . 1 . 1-Domain test . local-Username test1-Hash 7 ecffff 0 c 3548187607 a 14 bad 0 f 88 bb 1-Command ' calc . exe '-verbose

类似于wmiexec.py

Invoke-SMBExec：

支持SMB1、SMB2 (2.1)和SMB签名。

参数示例：

invoke-SMBExec-Target 192 . 168 . 0 . 2-Domain test . local-Username test1-Hash 7 ecffff 0 c 3548187607 a 14 bad 0 f 88 bb 1-Command ' calc . exe '-verbose

在目标主机上创建一个服务来执行命令，因此权限是system。

Invoke-SMBClient：

支持SMB1、SMB2 (2.1)和SMB签名。

如果您只有SMB文件共享的权限，而没有远程执行的权限，则可以使用此脚本。

支持的功能包括列出目录、上传文件、下载文件、删除文件(具体权限取决于密码哈希的权限)

(3) mimikatz

Pass-The-Hash：

实际上，是绕过哈希。

参数示例：

权限：调试

sekurlsa:PTH/user:test1/domain:test . local/NTLM:C5 a 237 b 7 e 9d 8 e 708d 8436 b 6148 a 25 fa 1

注：

mimikatz的pth函数需要本地管理员的权限，这是由其实现机制决定的。首先需要获取高权限进程lsass.exe的信息。

对于8.1/2012r2，补丁为kb2871997的Win 7/2008r2/8/2012可以替换为AES密钥。

Pass-The-Ticket：

考虑到mimikatz的pth功能需要本地管理员的权限，mimikatz还提供了无需管理员权限的解决方案Pass-The-Ticket。

传票需要用kekeo，gentilkiwi的另一个开源工具。下载地址：

https://github.com/gentilkiwi/kekeo

参数示例：

kekeo ' TGT:ask/user:test1/domain:test . local/NTLM:7 ecffff 0 c 3548187607 a 14 bad 0 f 88 bb 1 '

执行后生成比尔TGT _ test1 @ test . local _ krbtgt ~ test . local @ test . local . kir bi。

接下来导入票据：

kekeo ' Kerberos:PTT TGT _ test1 @ TEST .' LOCAL_krbtgt~test.local@TEST .'' LOCAL.kirbi '

0x04 小结

本文列举了多种实现传递散列的工具，欢迎补充

留下回复