❿⁄₁₄ ⟦ OSCP ⬖ 研记 ⟧ 密码攻击实践 ➱ 传递Net-NTLMv2哈希
郑重声明:本文所涉安全技术仅限用于合法研究与学习目的,严禁任何形式的非法利用。因不当使用所导致的一切法律与经济责任,本人概不负责。任何形式的转载均须明确标注原文出处,且不得用于商业目的。
🔋 点赞 | 能量注入 ❤️ 关注 | 信号锁定 🔔 收藏 | 数据归档 ⭐️ 评论 | 保持连接💬
🌌 立即前往 👉晖度丨安全视界🚀
▶ 信息收集
▶ 漏洞检测
▶ 初始立足点
▶ 权限提升
▶ 横向移动 ➢ 密码攻击 ➢ 传递Net-NTLMv2哈希🔥🔥🔥
▶ 报告/分析
▶ 教训/修复
目录
1.1.5.5 在ntlmrelayx的终端下看到中继到FILES02
1.1.5.6 在Netcat监听器捕获到FILES02的反向shell
1.密码破解
1.1 破解Windows哈希实践
核心攻击场景:本文介绍第三种:获取并破解Net-NTLMv2哈希。
| 攻击类型 | 目标哈希 | 手法简介 |
|---|---|---|
| 获取并破解NTLM哈希 | 🗝️ NTLM哈希 | 从内存或SAM数据库中提取哈希,并用工具(如Hashcat)破解 |
| 传递NTLM哈希 | 🗝️ NTLM哈希 | 直接使用哈希进行身份验证,绕过密码需求 |
| 获取并破解Net-NTLMv2哈希 | 🔐 Net-NTLMv2哈希 | 通过中间人或欺骗获取挑战-响应包,离线破解 |
| 传递Net-NTLMv2哈希 | 🔐 Net-NTLMv2哈希 | 在支持的环境下复用Net-NTLMv2响应进行身份验证 |
1.1.4 传递Net-NTLMv2哈希概述
1.1.4.1 攻击背景
当获取到用户的 Net-NTLMv2 哈希后却无法破解(如密码过于复杂)时,攻击者可通过 “哈希传递” 继续渗透。本文介绍如何在无法获得明文密码的情况下,利用哈希中继实现横向移动。
🎯 核心前提:
主机 A(FILES01)与主机 B(FILES02)的认证凭据(即密码的 NTLM 哈希)必须相同。
基于用户名 files02admin,可推测该用户可能是 FILES02 的本地管理员,从而尝试将哈希中继至 FILES02。
1.1.4.2 攻击流程
📌 详细步骤说明:
| 步骤 | 操作 | 说明 |
|---|---|---|
| 1️⃣ | 建立 SMB 服务器 | 攻击者使用 Responder 模拟 SMB 服务器并监听 |
| 2️⃣ | 绑定 Shell | 在目标机(FILES01)上通过 netcat 等工具监听端口并获取 Shell |
| 3️⃣ | 发起 SMB 连接 | 从目标机 Shell 中使用 dir 等命令连接攻击者的 SMB 服务器 |
| 4️⃣ | 捕获并转发哈希 | Responder 捕获 Net-NTLMv2 哈希,并将其转发至 FILES02 |
| 5️⃣ | 验证身份 | 若 files02admin 在 FILES02 上为有效本地用户,则身份验证通过 |
| 6️⃣ | 执行命令 | 通过 psexec、wmiexec 等工具在 FILES02 上远程执行命令 |
⚠️ 攻击成功关键点:
- ✅ 哈希一致性:两台主机上的用户密码哈希必须相同。
- ✅ 用户权限:目标用户(
files02admin)在目标主机上需具备足够权限(如本地管理员)。 - ✅ 网络可达:攻击者机器可与目标主机进行 SMB 通信。
1.1.4.3 UAC远程限制与中继攻击关系解析
在此处,顺便详细解释下UAC(用户账户控制)与中继攻击的关系。
1.UAC(用户账户控制)远程限制
UAC(用户账户控制)是Windows的核心安全机制,旨在阻止未授权的系统级操作。当进行需要管理员权限的操作时,会弹出提示要求用户确认。
🔒 远程限制特点
| 特性 | 说明 |
|---|---|
| 默认启用 | Windows默认启用,对远程会话中的管理员权限施加限制 |
| 保护机制 | 即使远程用户拥有管理员账户,也无法直接执行特权操作 |
| 安全意义 | 防止远程攻击者轻易获取完全控制权 |
⚡ 两种状态对比
