PTH(Pass The Hash) 攻击分析


PTH(Pass The Hash) 攻击

概述

获取一台主机的本地管理员组成员账号的口令 NTLM 后,不需破解获取口令明文,使用 PTH 方式,将管理员账号及 NTLM 注入当前会话作为凭据,利用该凭证可以渗透获取周围主机的管理权限

对方主机需存在相同的账号,且是管理员组成员

Windows NT 5.x 系统中,管理员组账号的网络登录均能获取系统管理权

Windows NT 6.x 系统及更高的版本中,管理员组(SID500)账号的网络登录不能获取系统管理权限,administrator(SID为500)账号的网络登录能获取系统管理权

这类攻击适用于:

  • 域/工作组环境

  • 可以获得 hash,但是条件不允许对 hash 爆破

  • 内网中存在和当前机器相同的密码

UAC

用户帐户控制 (User Account Control) 是 Windows Vista(及更高版本操作系统)中一组新的基础结构技术,可以帮助阻止恶意程序(有时也称为”恶意软件”)损坏系统,同时也可以帮助组织部署更易于管理的平台。
使用 UAC,应用程序和任务总是在非管理员帐户的安全上下文中运行,但管理员专门给系统授予管理员级别的访问权限时除外。UAC 会阻止未经授权应用程序的自动安装,防止无意中对系统设置进行更改。

用户帐户控制(UAC)是新版 Windows 的核心安全功能,也是其最常被人误解的众多安全功能当中的一种。

攻击

mimikatzpth 功能需要本地管理员权限,这是由它的实现机制决定的,需要先获得高权限进程 lsass.exe 的信息

对于 8.1/2012r2,安装补丁KB2871997Win 7/2008r2/8/2012,可以使用 AES keys 代替 NT hash

使用 mimikatz 先获取 hash:

privilege::debug
sekurlsa::logonpasswords

得到 hash 后

工作组

sekurlsa::pth /user:administrator /domain:workgroup /ntlm:ccef208c6485269c20db2cad21734fe7

微软也对 pth 打过补丁,然而在测试中发现,在打了补丁后,常规的 Pass The Hash 已经无法成功,唯独默认的 Administrator (SID 500) 账号例外,利用这个账号仍可以进行 Pass The Hash 远程 ipc 连接。

域内用户

前提是:域用户为本地管理组成员

sekurlsa::pth /user:eviluser /domain:adsec.com /ntlm:ccef208c6485269c20db2cad21734fe7

域内用户不受补丁影响。

KB2871997

Changes to this feature include: prevent network logon and remote interactive logon to domain-join ed machine using local accounts…

安装 KB2871997 补丁后,其他方面并没有太多的变化 。补丁会给本地账号添加一个 S-1-5-113SID,为管理组中的本地账号添加一个 S-1-5-114SID,这样方便通过域策略进行管理,例如从域策略中全面禁止这类账号的网络登录。

防御

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Policies\System\FilterAdministratorToken,系统中一个有 Admin ApprovalModeUAC 就是通过上面的注册表键值来判断,默认设置为 0。如果设置为 1,则 SID500 的管理员也不能通过网络登录的方式获取高权限。


文章作者: Geekby
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Geekby !
 上一篇
Kerberoasting 攻击 Kerberoasting 攻击
Kerberoasting 攻击背景Kerberoasting 攻击是 Tim Medin 在 DerbyCon 2014 上发布的一种域口令攻击方法,Tim Medin 同时发布了配套的攻击工具 kerberoast。此后,不少研究人员对
2019-04-30
下一篇 
Nexus Repository Manager 3 远程命令执行漏洞(CVE-2019-7238) Nexus Repository Manager 3 远程命令执行漏洞(CVE-2019-7238)
Nexus Repository Manager 3 远程命令执行漏洞(CVE-2019-7238)Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发 Maven、NuGET 等软件源仓库。其 3.14
2019-03-05
  目录