江苏龙网

  1. 首页 > 资讯 > 科技 > >

|黑客攻击中最常见的“用户凭证”,到底是什么?( 二 )


|黑客攻击中最常见的“用户凭证”,到底是什么?
本文插图

可以看出[ID]为1''[GUID]为c73089ab-8634-457c-8ee7-b8c0ed2432ad 。
|黑客攻击中最常见的“用户凭证”,到底是什么?
本文插图

2.windows server 03
如果系统是 server 03 在执行完毕之后还需要使用esentutl对ntds进行修复 。
esentutl /r edb /8 /d /o esentutl /p .ntds.dit /8 /o
|黑客攻击中最常见的“用户凭证”,到底是什么?
本文插图

需要注意的是该操作必须在 windows server 2003 上执行 。
d、Mimikatz
Mimikatz 有一个功能 dcsync 利用目录复制服务 DRS从 NTDS.DIT 文件中检索密码哈希值 。 该技术消除了直接从域控制器进行认证的必要性 , 因为它可以以域管身份在域的任意系统执行 , 或是使用黄金票据从任意可连接到域控的服务器执行 。 因此这也是一项用于红队的标准技术 。
lsadump::dcsync /domain:aptlab.com /all /csv|黑客攻击中最常见的“用户凭证”,到底是什么?
本文插图

通过使用 /user 参数指定域用户名Mimikatz 会将该指定用户的所有帐户信息转储包括哈希值 。
lsadump::dcsync /domain:pentestlab.local /user:test
|黑客攻击中最常见的“用户凭证”,到底是什么?
本文插图

e、secretsdump
利用 impacket 下的 secretsdump 模块也可以实现远程盗取 ntds 内容 。 同时该工具支持 hash 传递攻击 。
python secretsdump -hashes :NThash -just-dc domain/dc$@ipaddress3、ntds文件解密
破解ntds文件的方法有很多软件也有很多包括Impacket-secretsdump、Quarks PwDump等 。
这里推荐使用NtdsAudit工具 。
该工具可以十分高效的破解ntds文件并将全部域用户信息导出方便查找域用户状态 。
将ntds.dit文件和SYSTEM文件放在同一目录下执行命令
NtdsAudit.exe ''ntds.dit'' -s ''SYSTEM'' -p pwdump.txt --users-csv users.csv执行完毕后会生成两个文件pwdump.txt和users.csv其中pwdump.txt为用户hash文件包含用户名及hashusers.csv文件为域用户的详细信息包括账户是否过期是否为管理员上次密码修改时间等 。
|黑客攻击中最常见的“用户凭证”,到底是什么?
本文插图

需要注意的是该工具只能在win10server16未测试上执行 。
使用不同工具破解ntds文件时需要注意最好使用与导出ntds文件域控相同操作系统版本的系统进行破解否则可能会出现失败的情况 。
4、NTLM 协议攻击思路
(1)hash 传递
hash传递攻击pass the hash简称 PTH。
由于 NTLM 验证过程中在 type 3 阶段计算 response 的时候客户端是使用用户的 hash 进行计算的而不是用户密码进行计算的 。 因此在模拟用户登录的时候是不需要用户明文密码的只需要用户hash 。
微软在2014年5月13日发布了针对 Pass The Hash 的更新补丁 kb2871997标题为''Update to fix the Pass-The-Hash Vulnerability'',而在一周后却把标题改成了''Update to improve credentials protection and management'' 。 同时该补丁还能阻止mimikatz 抓取明文密码 。
严格意义上讲hash传递只是完成一个不需要输入密码的NTLM协议认证流程所以并不算是一个漏洞只能算是一个技巧 。
a、常用工具
哈希传递作为一个比较常见的攻击方式对应的工具有很多 。 常见的有
1.mimikatz
privilege::debug sekurlsa::pth /user:win10 /domain:test.local /ntlm:6a6293bc0c56d7b9731e2d5506065e4a


推荐阅读


上一篇:右手网|三星即将推出新款固态硬盘,最高容量将达到 8TB

下一篇:微博|微博发布新规:今日22时起,发布评论须关注博主7天以上