哈希传递

哈希传递

简介

Pass The Hash 即PTH，就是通过传递Windwos 本地账户或者域用户的hash值，达到控制其他服务器的目的

在进入企业内网之后，如果是Windows PC或者服务器较多的环境,极有可能会使用到hash传递来进行内网的横传，现在企业内部一般对于口令强度均有一定的要求，抓取到本地hash后可能无法进行破解，同时从Windows Vista和Windows Server 2008开始，微软默认禁用LM hash.在Windows Server 2012 R2及之后版本的操作系统中，默认不会在内存中保存明文密码，这时可以通过传递hash来进行横传。

适用场景：内网中大量主机密码相同。

原理

hash 传递的原理是在认证过程中，并不是直接使用用户的密码进行认证的，而是使用用户的hash值，因此，攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务，而不需要提供明文密码。在Windows系统中，通常会使用NTLM身份认证，NTLM是口令加密后的hash值。PTH是基于smb的服务（139端口和445 端口）

NTLM认证流程：

1、client发送账户名user到server
2、server判断本地账户名是否存在，没有则失败，有的话生成challenge，查找user对应的NTLM哈希，使用哈希加密challenge，生成一个net-ntlm hash存在内存中，将challenge发送给client
3、client接受到challenge以后，将自己的密码转换成NTLM哈希，用生成的哈希加密challenge生成response，发送response给server
4、server对比自己内存中的net-ntlm hash与client发来的response是否一致
5、如果密码匹配，服务器向客户端发送一个接受消息，表示认证成功。
注意:challenge每次认证都不一样，是一个随机生成的16字节随机数，response的形势与server生成的net-ntlm hash一个格式

通过认证流程我们不难看出，只要有NTLM哈希在手，哪怕不知道明文密码也可以完成NTLM的认证

NTLM验证靠HASH值

1.获得一台域主机的权限

2.Dump内存获得用户hash

3.通过pass the hash尝试登录其他主机

4.继续搜集hash并尝试远程登录

5.直到获得域管理员账户hash，登录域控，最终成功控制整个域

利用

hash传递浏览上传文件

当域内的用户想要访问域中的某个服务时，输入用户名和密码访问，本机kerberos服务会向KDC的AS认证服务发送一个AS-REQ认证请求。该请求包中包含： 请求的用户名、客户端主机名、加密类型 和 Authenticator(用户NTLM Hash加密的时间戳)以及一些其他信息

在AS-REQ阶段，是用用户密码Hash加密的Authenticator，所以也就造成了hash传递。我们只需要获取域用户Hash，同时目标机器开放smb服务，就可以进行Hash传递攻击。

mimikatz

	privilege::debug                            提升权限(以管理员权限运行)
	sekurlsa::logonpasswords          			获取内存中保存的登录信息
	sekurlsa::pth /user:administrator /domain:qf.com /ntlm:a803cf45d87009c404eb89df4b1ae94c
	弹出新窗口
	dir \\10.10.10.254\c$