Windows之hash利用小结

攻击机：kali 2020（192.168.107.129）

DC：Windows Server 2012 R2（192.168.107.137）

msf已成功通过msf获取到DC的shell

刚获取的shell为普通用户权限，需要进行提权，然后获取hash

直接使用getsystem失败，使用ps命令查看当前进程及运行用户权限

可以看到所运行的进程皆为普通用户权限

这里为了方便，直接使用msf提供的模块，用于快速识别系统中可能被利用的漏洞：

具体原理参考： BypassUAC------使用EVENTVWR.EXE和注册表劫持实现“无文件”UAC绕过

成功绕过UAC获取shell：

通过进程注入获取system权限，并获取hash

原理：

哈希传递攻击是基于NTLM认证的一种攻击方式。哈希传递攻击的利用前提是我们获得了某个用户的密码哈希值，但是解不开明文。这时我们可以利用NTLM认证的一种缺陷，利用用户的密码哈希值来进行NTLM认证。在域环境中，大量计算机在安装时会使用相同的本地管理员账号和密码。因此，如果计算机的本地管理员账号密码相同，攻击者就能使用哈希传递攻击登录内网中的其他机器。

哈希传递攻击适用情况：

在工作组环境中：

在域环境中：

Metasploit下面有3个psexec模块都可以进行Hash传递利用

第一个模块（auxiliary/admin/smb/psexec_command）：

缺点：只能运行单条命令，不支持网段格式批量验证

优点：奇怪的是其他普通用户的hash也可以执行系统命令，这个模块可能不属于hash传递的范畴？这个坑以后再来解，我太菜了，望大佬指点~

设置命令的时候可以配合exploit/multi/script/web_delivery从而获取meterpreter

在上面进行Hash传递的时候，只要后面的NTLM Hash是正确的，前面填写什么都是可以顺利登陆成功的。

第二个模块（exploit/windows/smb/psexec）：

利用条件：

优点：该模块支持网段格式批量验证，成功后可直接获取meterpreter且为system权限，在实战中优先使用

第三个模块（exploit/windows/smb/psexec_psh）：

使用powershell作为payload。这个模块也支持网段批量验证，这里就不再赘述了

当我们获得了内网中一台主机的NTLM哈希值，我们可以利用mimikatz对这个主机进行哈希传递攻击，执行命令成功后将会反d回cmd窗口

mimikatz中pth功能的原理：

windows会在lsass中缓存hash值，并使用它们来ntlm认证，我们在lsass中添加包含目标账号hash的合法数据结构，就可以使用类似dir这些命令进行认证

目标主机：192.168.107.140

domain：SWS-PC

执行后会d出cmd，执行以下命令即可远程连接：

创建计划任务反dshell：

理论上来说是可行的，win7复现的时候，任务一直在运行，就是没结束，我也是醉了.....

当然这里使用powershell远程加载也是可以的，但由于环境因素无法复现

前提条件：获取到的beacon为system权限，user中带有*号的用户

在得到一个beacon的基础上，先在该网段portscan，探测存活主机后

选择View-->Target-->Login-->psexec，可批量选择主机pth

个人觉得还是Msf好用，成功率更高一些

项目地址： https://github.com/byt3bl33d3r/CrackMapExec

安装参考： https://github.com/byt3bl33d3r/CrackMapExec/wiki/Installation

Kali安装步骤：

使用命令：

注意：这里的 IP 可以是单个IP也可以是IP段

如果命令使用失败，可能没安装其依赖项（坑点，我弄了两个小时。。。心态爆炸）：

项目地址： https://github.com/SecureAuthCorp/impacket

安装过程：

wmi内置在windows *** 作系统，用于管理本地或远程的 Windows 系统。wmiexec是对windows自带的wmic做了一些强化。攻击者使用wmiexec来进行攻击时，不会记录日志，不会写入到磁盘，具有极高的隐蔽性。

安装成功后，切换到examples目录下，执行如下命令：

exe版本：

项目地址： https://github.com/maaaaz/impacket-examples-windows

执行命令类似

powershell版本：

项目地址： https://github.com/Kevin-Robertson/Invoke-TheHash

注意：这里要先加载Invoke-WMIExec.ps1脚本，因为Invoke-TheHash 里要用到 Invoke-WMIExec方法

该命令执行后该进程会在后台运行，可以结合定时任务执行尝试反dshell。

KB2871997 补丁将使本地帐号不再可以用于远程接入系统，不管是 Network logon 还是 Interactive login。其后果就是：无法通过本地管理员权限对远程计算机使用 Psexec、WMI、smbexec、IPC 等，也无法访问远程主机的文件共享等。

在安装了kb2871997 这个补丁后，常规的Pass The Hash已经无法成功。但administrator(SID=500) 账号例外，使用该账号的散列值依然可以进行哈希传递攻击。这里需要强调的是 SID=500 的账号。即使将administrator账号改名，也不会影响SID的值

普通用户测试：

前提：只适用于域环境，并且目标主机需要安装 KB2871997补丁

利用获得到的AES256或AES128进行Key攻击:

d出cmd后，查看DC的共享文件夹：

这里也不知道算成功没有

详情请参考谢公子博客： https://blog.csdn.net/qq_36119192/article/details/103941590

LocalAccountTokenFilterPolicy 值默认设置为 0 来禁止非administrator账号的远程连接(包括哈希传递攻击)，但是administrator用户不受影响

将LocalAccountTokenFilterPolicy设置为1，就可以使用普通管理员账号进行哈希传递攻击

利用工具：hashcat

比如说密码为：admin888?

NTLM加密之后为：c4e51613d9ab888ac3d43538840b271c

hashcat具体用法参考： Hashcat的使用手册总结

这里可以看到成功破解出了密码：

当然也可以去cmd5等破解网站，有钱的话直接冲个会员多香啊

Pass The Hash(Key) 凭据传递攻击PTH

哈希传递攻击(Pass-the-Hash,PtH)

Windows用户密码的加密与破解利用

横向渗透之Pass The Hash

1、win7使用sha文件可以将代码保存为文本并修改扩展名为bat。

2、打开文件夹在地址栏输入shell:sendtowin7sha256打开了“发送到”目录将hashfilebat文件复制到此目录即可。

---