刚开始内网的学习,感觉非常的乱,一时间接触了很多知识,但又没有几点是深刻理解的,导致心里乱乱的,稍微把脚步放慢一点,认真体会一下内网中的一些知识,这篇是有关哈希传递攻击的文章。之前在做红日靶场的时候接触过,但其背后的原理以及做法还是不了解,希望通过这篇文章能够多掌握一些。
一、什么是PTH
(1)Pass-The-Hash 是一种针对身份认证机制的横向移动技术。
(2)横向移动:在入侵多个系统后,通过内部网络或协议漏洞,在多台主机之间跳跃以扩大攻击范围。
(3)攻击者无需破解用户密码的明文,只需获取密码的哈希值,就可以利用该哈希值模拟用户身份,访问网络中的其他系统或服务。
到这里,横向移动技术了解了,首先我就有下面几点疑问:
1.密码的哈希值如何窃取?
2.为什么只需要哈希值就可以模拟用户的身份?
后面关键就围绕这些来展开,现在再来了解一下攻击原理(注,是攻击原理,而非窃取哈希)
windows的身份认证机制
NTLM认证流程
1.用户输入密码,系统生成哈希(NTLM Hash 这个生成原理已经了解过了)
2.Client向Server端发送认证请求
3.服务器返回挑战(响应):会生成一个8字节的随机值,向客户端发送“挑战”消息。
4.客户端生成响应:客户端使用NTLM Hash作为密钥,通过特定的算法加密“挑战”,生成24字节的响应
5.服务器验证响应:服务器从用户数据库中读取用户的NTLM Hash,使用同样的算法来生成24字节的值,与客户端发来的进行比对。
关键就在于windows允许直接使用哈希值生成认证,光看这里的话,密码=Hash(密码),只要我们窃取了密码哈希值,就可以直接模拟用户的身份。
第二个疑问看似明了了,也许后面还是会有一些疑问,先放这里,看看疑问一是怎样的。
二、哈希窃取
密码哈希存储在哪?
(1)当用户登录输入密码后,系统会生成NTLM Hash并缓存在LSASS内存中
LSASS进程是Windows安全的核心进程,LSASS内存是敏感信息的“临时存储池”,用户登录后,密码哈希,kerberos票据,安全令牌等都会驻留在这段内存中
(2) 本地用户的哈希也存储在安全账户管理器SAM中,是一种数据库
但为了之后目的更加清楚,我又问了一个问题:
问:“一般来说是从LSASS中提取密码哈希,还是从SAM中提取哈希?”
答:优先选LSASS。攻击者可直接获取当前会话的活体哈希,无需破解静态加密的SAM文件。
1.无需物理访问:通过内存注入(如使用Mimikatz)或漏洞来远程读取LSASS内存
2.权限要求更低:本地管理员就可以通过工具(Mimikatz)直接读取
3.窃取LSASS中的哈希后,可以直接注入到其他进程当中
既然知道了哈希存储的位置,接下来就可以学习如何窃取哈希了(菜菜,之后再了解抓取哈希的具体步骤,可能会从Mimikatz的源码入手)
1.Mimikatz
首先在github上下载了该工具
现在需要先确认我们win7是哪个版本的:cs中输入 systeminfo 就可以得知了,我们应该上传x64的Mimikatz.exe ,先利用cs上传上去(又或者,直接拖到靶机当中运行,毕竟只是先了解一下用法)
我直接在靶机中进行操作了,现在我要窃取哈希,必须学习Mimikatz的语法
(1)读取LSASS进程
privilege::debug
# 提升当前的进程到调试级别,允许执行:
#(1)读取、写入到其他进程的内存
#(2)注入代码到其他进程sekurlsa::logonPasswords
# 从windows登录会话(LSASS内存)中提取用户的明文密码或哈希值
# sekurlsa 是Mimikatz其中的一个模块可以得到结果:
成功获取了以下敏感信息:MSV(微软验证)、Kerberos票据等
(2)读取SAM数据库
privilege::debug
token::elevate
# 将当前进程的访问令牌提升为SYSTEM权限
lsadump::sam
# 从SAM中提取用户账户哈希值,此时需要SYSTEM权限可以得到结果:
2.CobaltStrike
可以使用抓取哈希和抓取明文密码来读取lsass进程中的凭据,也可以直接使用
beacon > hashdump
beacon > logonpasswords三、哈希传递
上面我们已经成功地拿到了哈希密码了,还记得在一开始提到的:PTH是一种横向移动技术。
有了哈希值如何进行横向?
这个时候可以使用CobaltStrike
尝试进行横向移动
这样点击就可以了。看其他师傅写的文章,还涉及到了其他工具的使用,但现在还是先简化一下吧,到后面接触到了再学也不迟。
四、总结
刚开始学习内网,就算已经有了一些知识作为铺垫(比如票据,kerberos协议等),还是会被一些(如横向,域信息收集,添加路由和代理)给搞得很乱,这个时候还是稍微慢一些,做好每一步笔记
