Pass the hash 总结
Windows Lateral-Movement Pth Ptk    739    0    0

        在最近的pth使用中发现常常会出现如下的错误:


当时怀疑与使用的用户权限或者与目标的系统补丁有关,特地查了下资料,总结如下。



一、Pth是不是漏洞?

        微软官方不承认这是一个漏洞,只是NTLM验证过程中的缺陷,这就意味着在所有的系统上均可以利用。在本地试验了下,打全补丁仍然可以Pth成功。谈到Pth经常会说到一个补丁编号:KB2871997,该补丁主要是禁用Wdigest Auth强制系统的内存保存明文口令。由HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest下的UseLogonCredential 值决定,当UseLogonCredential 为1时,WDigest会保存凭据到内存中,为0时,不会保存(当不存在该键时,默认为0)。并且在Windows 8.1和 Server 2012 R2 + 默认集成。

        所以出现该问题(rpc_s_access_denied)的原因只可能是用户权限的问题。


二、Pth 利用限制

    1. 在利用非 Administrator 用户的本地管理员凭证Pth,返回 Access is Denied 之类的错误,跟遇到的错误一样

PS:本地管理员用户 smb_login 没有判断出来Administrator ???

 

    2. 但是域管账号可以正常使用,不受影响

       

        对于上述的现象,该文章[1] 中有很好的总结:对于任何非RID 500的本地管理员(Administrator)连接到WIndows Vista+的计算机,无论是采用WMI、PSexec还是其他方法,使用的令牌都是"已经过滤过的"(即中等令牌)。当使用上述命令进行链接的时候会显示Access is Denied。


三、Pth 限制突破

    1. 修改目标注册表

        如果已经拿下的目标系统权限,抓取hash,可以修改目标标注册表配置,使其本地管理员组的成员都能远程连接(WMI、PSexec),作为持久化的一种手段。

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f 


    2.  通过RDP获得完整令牌

        在上述说明了使用WMI、PSexec等方法获得的都是中等令牌,对于本地管理员的账号可以采用hash登录RDP的方式获得完整的命令。该方法需要目标系统开启"Restricted Admin Mode",在Windows 8.1 和 Windows Server 2012 R2上已经默认开启,对于其他的版本系统有补丁限制,具体使用可以参考 横向渗透之 [RDP]


    3. Ptk

        使用用户的 aes key 完成攻击,针对特定的系统和补丁。对于Windows XP 、Vista、2008、7、2008 r2 和2012没有安装KB2871997的系统上,mimikatz的pth只能通过ntlm hash,即:

privilege::debug
sekurlsa::pth /user:administrator /domain:domain.com /ntlm:ntlm_hash 


对于Windows 8.1 、2012 R2或者安装KB2871997的Win 7 、2008 R2和2012上,可以使用aes hash代替ntlm hash完成哈希传递

privilege::debug
sekurlsa::ekeys


mimikatz # sekurlsa::pth /user:administrator /domain:domain.com /aes128:key
mimikatz # sekurlsa::pth /user:administrator /domain:domain.com /aes256:key

PS:这里需要注意,pth 如果直接用IP会提示用户或密码不正确,直接使用机器名即可。


        以上仅个人总结,如有错误,请多斧正!


参考文章:

[1] Pass-the-Hash Is Dead: Long Live LocalAccountTokenFilterPolicy



觉得不错,点个赞?
Sign in to leave a comment.
No Leanote account ? Sign up now.
0 条评论
文章目录