PassTheHash
最后更新于
最后更新于
哈希传递攻击(Pass-the-Hash, PTH)是一种攻击技术,攻击者不需要知道用户的明文密码,而是直接利用密码的哈希值进行认证。当用户登录计算机或访问资源时,操作系统会生成并存储密码的哈希值。攻击者通过某种方式获取这些哈希值,然后使用它们来伪装成合法用户,以访问网络上的资源。
在PTH攻击中,攻击者的目标是捕获并使用这些哈希值,而不是尝试破解它们得到实际的密码。这种攻击是在Windows环境中特别常见的,因为NTLM认证机制允许哈希作为凭证进行认证
哈希传递攻击要求管理员的 NTLM Hash 以及目标机器的445端口开放。
对于Windows Vista之前的机器:可以使用本地管理员组内的用户哈希进行攻击。
对于Windows Vista及之后的机器:
在工作组环境中:只有administrator(SID为500)用户的哈希可以用于攻击。其他用户,即使是管理员用户,也会收到“拒绝访问”的提示。
在域环境中:仅域管理员组内的用户哈希(包括非administrator用户)可以用于攻击,成功后可访问域内任意机器。
当我们得到域控管理员用户的NtlmHash时,比如此处我获取到管理员用户的ntlmhash为e39c2287a10517cf1cde66bd8c7c6cf0
,执行如下命令,执行完毕后会反弹一个域控管理员权限的cmd
利用域控管理员权限的cmd,可以进行更进一步的后渗透,比如dir
查看域控目录和schtasks
创建计划任务等等
当我们扫描完内网获取到存活主机后,点击上方的准心图标,可以查看扫描到的主机。随后选择你要横移上线的目标主机,点击鼠标右键->Jump->psexec_psh
填写域控管理员用户、对应的NtlmHash以及其他信息
点击Launch后可以发现目标主机在CS上线