1. 密码破解
1.1 破解 Windows 哈希实践
**核心攻击场景:**本文介绍第三种:获取并破解 Net-NTLMv2 哈希。
| 攻击类型 | 目标哈希 | 手法简介 |
|---|---|---|
| 获取并破解 NTLM 哈希 | NTLM 哈希 | 从内存或 SAM 数据库中提取哈希,并用工具(如 Hashcat)破解 |
| 传递 NTLM 哈希 | NTLM 哈希 | 直接使用哈希进行身份验证,绕过密码需求 |
| 获取并破解 Net-NTLMv2 哈希 | Net-NTLMv2 哈希 | 通过中间人或欺骗获取挑战 - 响应包,离线破解 |
| 传递 Net-NTLMv2 哈希 | Net-NTLMv2 哈希 | 在支持的环境下复用 Net-NTLMv2 响应进行身份验证 |
1.1.4 传递 Net-NTLMv2 哈希概述
1.1.4.1 攻击背景
当获取到用户的 Net-NTLMv2 哈希后却无法破解(如密码过于复杂)时,攻击者可通过**'哈希传递'**继续渗透。本文介绍如何在无法获得明文密码的情况下,利用哈希中继实现横向移动。
核心前提:
主机 A(FILES01)与主机 B(FILES02)的认证凭据(即密码的 NTLM 哈希)必须相同。
基于用户名 files02admin,可推测该用户可能是 FILES02 的本地管理员,从而尝试将哈希中继至 FILES02。
1.1.4.2 攻击流程
详细步骤说明:
| 步骤 | 操作 | 说明 |
|---|---|---|
| 1️⃣ | 建立 SMB 服务器 | 攻击者使用 Responder 模拟 SMB 服务器并监听 |
| 2️⃣ | 绑定 Shell | 在目标机(FILES01)上通过 netcat 等工具监听端口并获取 Shell |
| 3️⃣ | 发起 SMB 连接 | 从目标机 Shell 中使用 dir 等命令连接攻击者的 SMB 服务器 |
| 4️⃣ | 捕获并转发哈希 | Responder 捕获 Net-NTLMv2 哈希,并将其转发至 FILES02 |
| 5️⃣ | 验证身份 | 若 files02admin 在 FILES02 上为有效本地用户,则身份验证通过 |
| 6️⃣ | 执行命令 | 通过 psexec、wmiexec 等工具在 FILES02 上远程执行命令 |
攻击成功关键点:
- ✅ 哈希一致性:两台主机上的用户密码哈希必须相同。
- ✅ 用户权限:目标用户()在目标主机上需具备足够权限(如本地管理员)。
