浅谈哈希传递那些世人皆知的事
💡
原文中文,约2700字,阅读约需7分钟。
📝
内容提要
Pass The Hash(PTH)是一种攻击方法,利用NTLM Hash进行身份认证,攻击者可以直接登录目标主机或反弹Shell。在域环境中,如果计算机的本地管理员账号和密码相同,攻击者可以使用哈希传递攻击方法登录内网中的其他主机。本文介绍了使用Mimikatz、Crackmapexec、impacket和Metasploit进行哈希传递攻击的方法。
🎯
关键要点
- 哈希传递攻击(PTH)利用NTLM Hash进行身份认证,攻击者可以直接登录目标主机或反弹Shell。
- 在域环境中,如果计算机的本地管理员账号和密码相同,攻击者可以使用哈希传递攻击登录内网中的其他主机。
- 哈希传递攻击不需要用户明文密码,只需用户的Hash,适用于域环境或工作组环境。
- 使用Mimikatz进行哈希传递攻击时,攻击者需在目标主机上抓取NTLM Hash并添加到lsass进程中。
- 使用Crackmapexec工具可以对内网主机批量进行PTH攻击,支持指定用户名、NTLM Hash和执行命令。
- 利用Impacket工具包中的wmiexec脚本可以进行PTH攻击,并支持通过代理进行操作。
- Metasploit也可以用于哈希传递攻击,常用模块包括多个针对PTH的功能。
🏷️
标签
➡️
