內網滲透:獲取Windows內Hash密碼的方法總結

2020-12-12 OFweek維科網

在內網滲透中,當攻擊者獲取到內網某臺機器的控制權後,會議被攻陷的主機為跳板,通過收集域內憑證等各種方法,訪問域內其他機器,進一步擴大資產範圍。通過此類手段,攻擊者最終可能獲得域控制器的訪問權限,甚至完全控制基於Windows作業系統的整個內網環境,控制欲環境下的全部機器。

Windows下安全認證機制

Windows下的安全認證機制總共有兩種,一種是基於NTLM的認證方式,主要用在早期的Windows工作組環境中;另一種是基於Kerberos的認證方式,主要用在域環境中。



圖1:NTLM認證流程圖

這裡主要對NTLM的認證流程做一下說明:

1、首先在客戶端中輸入username,password和domain,然後客戶端會把密碼進行Hash後的值先緩存到本地。

2、Client將username的明文發送給DC(域控)。

3、DC會生成一個16位元組的隨機數,也就是挑戰碼(Challenge),然後再傳回給Client。

4、當Client收到挑戰碼以後,會先複製一份,然後和緩存中的密碼Hash再一同混合Hash一次,混合後的值稱為response,之後Client再將challenge,response以及username一併都傳給server。

5、Server端在收到client傳過來的這三個值以後會把它們都轉發給DC。

6、當DC接到過來的這三個值的以後,會根據username到域控的帳號資料庫(ntds.dit)裡面找到該username對應的hash,然後把這個hash拿出來和傳過來的challenge值再混合hash。

7、將混合後的hash值跟傳來的response進行比較,相同則認證成功,反之,則失敗,當然,如果是本地登錄,所有驗證肯定也全部都直接在本地進行了。

在Windows2000以後,Windows機器都用NTLM算法在本地保存用戶的密碼,密碼的NTLM哈希保存在%SystemRoot%System32configSAM文件中。Windows作業系統中的密碼一般由兩部分組成:一部分為LM Hash,另一部分為NTLM Hash。在Windows中,Hash的結構通常如下:

Username:RID:LM-Hash:NT-Hash

在windows2000以後的系統中,第一部分的 LM-hash 都是空值,因為LM-hash可以很容易的破解,所以windows2000之後這個值默認為空,所以第二部分的NTLM-hash才真正是用戶密碼的哈希值。在滲透測試中,通常可從Windows系統中的SAM文件和域控資料庫的NTDS.dit文件(在域環境中,用戶信息存儲在NTDS.dit中)中獲得所有用戶的Hash。

使用PwDump工具獲取密碼Hash

PwDump7可以在CMD下提取出系統中的用戶的密碼hash,使用管理員權限直接運行該工具即可:



獲取到Hash後,我們可以用破解工具來破解得到明文密碼,也可以進行哈希傳遞攻擊來橫向滲透。

相關焦點

  • 滲透測試神器Cobalt Strike使用教程
    x86/x64windows/beacon_smb/bind_pipe x86/x64windows/foreign/reverse_dns_txtwindows/foreign/reverse_httpwindows/foreign/reverse_https
  • 內網滲透|ATT&CK紅隊評估實戰靶場-2
    ,通過收集的信息已經確定了域控ip,和大致能描繪出內網基本拓撲圖,如上期所說,此靶場難度為易,非常適合練習內網滲透各種姿勢!在上篇中,通過CS的會話net view功能,探測出內網存活主機如下,確定了域控IP為192.168.52.138。那麼此時就已經本次滲透測試結束了,有了域控帳號密碼還有其ip,當然這就是靶場的特殊性所在,練習為主。實戰很難有這麼順利。這裡就引出我們第一種方法,可以進行CS的psexec模塊進行登錄。
  • 「技術分享」Exchange滲透測試總結
    Rpc圖2四、密碼枚舉在無任意內網權限五、郵箱社工測試5.1通過釣魚獲取帳戶密碼為了提升員工安全意識,在滲透測試時,往往還會被要求做郵件釣魚測試。soap請求圖15郵箱滲透測試成功,我們獲取到郵件內容信息。
  • 教你多姿勢抓取Windows明文或Hash,快收藏!
    滲透測試,可用於測試企業單位內網的安全性,而獲取Windows的明文或Hash往往是整個滲透測試過程中重要的一環,一旦某臺機器的密碼在內網中是通用的,那麼該內網的安全性將會非常糟糕。本期安仔課堂,ISEC實驗室的李老師為大家介紹一些抓取Windows明文或Hash的方式。
  • 從外網到內網的滲透姿勢分享
    滲透的大體過程整個滲透測試的流程就是通過信息收,集到外網的 web 漏洞挖掘,來獲取一個 webshell ,通過這個 shell 進一步利用來打進內網,進行內網滲透、域滲透,最終獲取域控權限的一個過程。
  • 手把手教你如何用MSF進行後滲透測試!
    在對目標進行滲透測試的時候,通常情況下,我們首先獲得的是一臺web伺服器的webshell或者反彈shell,如果權限比較低,則需要進行權限提升;後續需要對系統進行全面的分析,搞清楚系統的用途;如果目標處於一個內網環境中,那麼我們就需要通過它對內網的其它終端進行信息收集和滲透測試,更全面地挖掘系統中存在的安全隱患。
  • 內網滲透|ATT&CK紅隊評估實戰靶場-1
    介紹一下:此靶場紅日安全團隊紅隊評估實戰靶場第一關,難度不大,多種姿勢均可獲得域控權限,是練習域滲透各種姿勢很不錯的靶場,搭建方式也非常簡單,配置一下win7為雙網卡,橋接為模擬外網ip,nat模擬內網域環境。配置完雙網卡即可,dhcp方式獲取橋接ip。勿管nat網卡的ip,內網域環境已經搭建好了。
  • 非物理接觸破解windows密碼一
    首先介紹windows密碼相關的三個文件:C:\Windows\System32\config\SAMC:\Windows\System32\config\SecurityC:\Windows\System32\config\System
  • 滲透測試常規操作記錄(下)
    ntlmhash,未知mssql帳號密碼Hash注入+socks無密碼連接mssql>mimikatz "privilege::debug" "sekurlsa::pth /user:administrator /domain:.
  • 從Java RMI反序列化到內網淪陷
    德x巧克力縱享絲滑般的順暢(麻煩德x給我一下廣告費),啊不,滲透享受絲滑般快感。上來就是system,連提權都省了。不到五分鐘,外網第一個點打下來了,安服仔看向我的眼神多了幾分仰慕。內網滲透進來先直接在CobaltStrike上運行mimikatz的logonpassword,進行明文密碼dump。
  • 利用Hashcat破解WiFi密碼
    Hashcat是當前最強大的開源密碼恢復工具,你可以訪問Hashcat.net網站來了解這款工具的詳細情況。本質上,Hashcat 3.0是一款高級密碼恢復工具,可以利用CPU或GPU資源來攻擊160多種哈希類型的密碼準備hashcat(5.1)kali自帶cap數據包字典一份(為了節約時間 就不演示枚舉了
  • 滲透測試面試近期熱門題
    問:內網伺服器,如何進行信息收集答:(1)手動,用一些小工具(批量看存活)new user /domain查域、net view看共享、hosts文件內網ip域名映射、wifi記錄和密碼、瀏覽器中的密碼、敏感文件、各類服務的配置文件中信息
  • Windows 10查看內網和外網IP的方法
    最近有網友問我們,windows 10系統中要怎麼查看IP位址。今天小編便整理了此篇教程來專門講述Win10 1803查看內網和外網IP位址的方法,有需要的朋友來帶走它吧!Windows10 1803查看IP位址的具體方法:一、外網地址的查看方法比較簡單:1、直接在百度搜索打輸入「IP」,即可查詢。
  • 利用WinRM實現內網無文件攻擊反彈shell
    用Administrator帳戶登錄攻擊機器前提知道被攻擊方的用戶登錄帳戶密碼Windows作業系統中,默認是開啟共享IPC$的IP:192.168.124.30(server2016)winrm命令:winrmquickconfig二、netuse連接(win7)命令:netuse \\192.168.124.20\ipc$ 「密碼
  • 獲取移動烽火貓超級權限的方法
    上次發了個電信的光貓獲取超管的方法,被各路大神按在屏幕上搓了好久。現在小編的臉還微微泛起春色。為了體現打不死的小強精神,今天我再發一篇獲取移動烽火HG6821M光貓超級權限的方法。這個我可是剛實驗過的,別的型號大家也可以試一下這個方法。
  • 乾貨|滲透測試工程師的一段有趣的經歷
    作者:殘笑最近的一次滲透測試,整個過程可謂略有戲劇性,充滿巧合而又合情合理。這次的目標是一個機構下的八個網站和四個跳板機,當滲透進行到三四天的時候,我和另一個小夥伴遇到了瓶頸,不太好更進一步。當時所獲得的漏洞有一個身份認證系統的任意用戶信息洩漏、任意帳號密碼重置,但是在該系統admin帳戶密碼為null,無法登陸管理員帳號也無法重置admin帳戶的密碼獲取更高權限。幾個無關緊要的系統的用戶弱口令。一個目標外系統的st2命令執行,計劃放到最後再嘗試內網,先從目標範圍內找。
  • 實例:Public權限滲透某asp.net網站
    ,在通過SQL注入點獲取是Public權限時,需要多方分析,嘗試各種方法進行滲透測試,但不管如何,存在SQL注入點就是一種突破,通過SQL注入能夠獲取網站資料庫的一些信息,通過這些信息再次進行滲透和提權就相對會容易一些。
  • 華碩內網密碼洩露對我們有哪些影響 華碩內網密碼洩露怎麼辦
    Bianews 3月28日消息,據TechCrunch報導,兩個月前,一名信息安全研究員向華碩發出警告表示,華碩的員工在GitHub代碼庫中錯誤地發布密碼,然而,這些密碼可被用於訪問該公司的企業內網。研究員通過此密碼可訪問內部開發者和工程師使用的電子郵件帳號,從而與計算機的使用者分享夜間構建的應用、驅動和工具。
  • 華碩內網密碼洩露是怎麼回事?華碩內網密碼洩露具體詳情一覽
    據美國科技媒體TechCrunch報導,一名信息安全研究員兩個月前向華碩發出警告稱,有華碩員工在GitHub代碼庫中錯誤地發布了密碼。這些密碼可以被用於訪問該公司的企業內網。其中一個密碼出現在一名員工分享的代碼庫中。