(一)NTLM hash
NTLMhash通常是指Windows系统下SecurityAccount Manager中保存的用户密码hash。
通常Mimikatz是通过读取lsass.exe进程来获得已登录用户的NTLMhash
NTLMhash的产生
将明文口令转换成十六进制,转换成Unicode格式,然后对Unicode字符串进行MD4加密,这个结果就是32位的十六进制NTLMhash
(二)Net-NTLM hash
通常是指网络环境下NTLM认证中的hash,在挑战/响应中产生。Responder获取的也就是Net-NTLMhash。
NTLM协议认证过程
①客户端向服务器发送一个包含登录用户名的请求
②服务器接收到请求后,生成一个16位的随机数,这个随机数被称为Challenge,明文发送回客户端。使用登录用户名对应的NTLMHash加密Challenge,获得Challenge1,生成challeng1同时将challenge发送到客户端
③客户端接受到Challenge后,使用将要登录到账户对应的NTLMHash加密Challenge生成Response,然后将Response发送至服务器端。
PS:经过NTLMHash加密的Challenge称为NetNTLM Hash。
④服务器端收到客户端的Response后,比对Chanllenge1与Response是否相等,若相等,则认证通过。
更多资料参考如下https://www.secpulse.com/archives/94848.html
(三)利用responder获取Net-NTLMhash
命令:responder-I eth0 -wrf
当受害者使用了远程连接服务器的命令,responder便能捕获该hash
上图就是responder捕获到的Net-NTLMv2hash
(四)利用hashcat破解该hash
可以看到,密码被成功破解,破解成功的密码是Net-NTLMhash,接下来,我们用这个密码来攻击这台机器
攻击失败,无法利用hash传递来进行攻击,如果攻击成功可以获取到NTLMhash来进行hash传递攻击,所以这里换个思路进行。
(五)利用responder来进行中继攻击(MultiRelay)
该攻击不需要对responder获取到hash进行破解,可以直接利用该hash攻击其他机器,禁用Responder.conf文件中的http服务和smb服务
运行responder
命令:responder-I eth0 -v -F
同时运行该工具
./MultiRelay.py-t 192.168.1.110 -u ALL
需要注意的是,需要中继的机器必须要有域管理员权限或本地管理员权限,否则,是无法利用的
这里通过中继拿到了这台机器的shell
MultiRelay提供了自带的命令例如mimil命令来调用Mimikatz函数
这里我们通过该shell来加载一个meterpreter。使用exploit/multi/script/web_delivery并按下图进行设置
加载payloadwindows/x64/meterpreter/reverse_https并运行之后会生成一段powershell代码
将该powershell代码放在该主机的shell里运行
不久就会弹回一个meterpreter
总结:这是一个常规的方法来拿到一个域内的主机,要想拿到域控还得不断的进行信息收集以及利用。
参考资料:
https://blog.csdn.net/nzjdsds/article/details/94314995
https://www.secpulse.com/archives/94848.html
(六)相关实操推荐
解密WindowsNTLMHash:hashcat号称世界上最快的密码破解,世界上第一个和唯一的基于GPGPU规则引擎,免费多GPU(高达128个GPU),多哈希,多操作系统(Linux和Windows本地二进制文件),多平台(OpenCL和CUDA支持),多算法,资源利用率低,基于字典攻击,支持分布式破解等等。
长按下面二维码,或点击合天网安实验室,可预览学习(PC端操作最佳哟)
长按开始学习
网友评论