媒介
path-the-hash,中文直译过来就是hash传递,在域中是一种比较常用的进击方法。在网上所找到的材料,大年夜多半是介绍若何实现词攀类进击,但对于它背后所隐蔽的关于Windows安然机制的一些常识,却鲜有商量。本文的目标就是大年夜pass-the-hash这一古老的话题切入,由进击过程中Windows的行动引出它背后的安然机制,让大年夜家对Windows有更深刻的懂得。
进击方法
获取一台域主机高权限
应用mimikatz等对象导出暗码hash
下面简单演示一下一般的进击办法:
mimikatz抓取暗码
传递hash
可以看到,已经可以或许拜访到长途的机械了。
一个实验引出的问题
固然pth是一个比较老的套路了,但实际上关于这个话题能谈到的还有很多。个中值得留意的包含微软宣布的补丁kb2871997。据嗣魅这个补丁可以或许阻拦pth,并且还能阻拦mimikatz抓取明文暗码。
有意思的是,工作并不是那么简单,我们做一个实验:
进击机:192.168.1.109
windows server 2008 r2
靶机:192.168.1.103
windows server 2008 r2
这里有两点须要留意,一是pth所应用的┞匪户User并不是RID为500的┞匪户,但它是本地治理员组的成员,二是这并非在域情况中进行实验,所有的┞匪户都不是域账户
大年夜膳绫擎的实验中我们可以得出一个结论:即便没有打KB2871997,windows server 2008 r2依然阻拦了RID非500,也即非内置治理员账户的长途上岸,但这条规矩对于域账户并不实用。下面我们来深刻商量原因。
起首在靶机上查看一下补丁情况
可以看到,没有安装kb2871997
然后在进击机上传递hash
提示拒绝拜访
接下来我们再测验测验以RID为500的Administrator用户pth,
用导出的hash测验测验上岸其他域主机
这下成功了。那如不雅我们在域情况下,应用域账户情况又若何呢?
此次应用域账户User,User是一个RID非500的域治理员构成员
UAC与令牌完全性
微软在文┞仿Description of User Account Control and remote restrictions in Windows Vista中提到:
When a user who is a member of the local administrators group>
既然以SID的方法定义了完全性级别,那么它就应当存在于用户的令牌中。一个拜访令牌的根本构造如下:
平日来说,pass-the-hash的进击模式是如许的:
实际上,代表完全性级其余SID包含在组SID中。一个过程或线程拥有一个令牌,当它请求拜访一个对象时,Windows内核中的SeAccessCheck函数会进行完全性检查。如不雅它的完全性级别等于或高于请求的对象,它就可以对此对象进行写入操作。但当一个过程或线程想要打开另一个过程或线程时,它不仅要知足完全性检查,还要拥有DACL的授权。
过程与对象的拜访权
除Change Notify、Shutdown、Undock、Increase Working Set和Time Zone外的特权都被移除
推荐阅读
【51CTO.com原创稿件】 “空中换引擎’,真的异常了不得!” 微软技巧专家如斯评价博时基金信息技巧研发治理体系转型进级项目。“空中换引擎”——即>>>详细阅读
地址:http://www.17bianji.com/lsqh/35037.html
1/2 1
网友点评
精彩导读
科技快报
品牌展示