PassTheHash

简介

哈希传递攻击（Pass-the-Hash, PTH）是一种攻击技术，攻击者不需要知道用户的明文密码，而是直接利用密码的哈希值进行认证。当用户登录计算机或访问资源时，操作系统会生成并存储密码的哈希值。攻击者通过某种方式获取这些哈希值，然后使用它们来伪装成合法用户，以访问网络上的资源。

在PTH攻击中，攻击者的目标是捕获并使用这些哈希值，而不是尝试破解它们得到实际的密码。这种攻击是在Windows环境中特别常见的，因为NTLM认证机制允许哈希作为凭证进行认证

利用条件

哈希传递攻击要求管理员的 NTLM Hash 以及目标机器的445端口开放。

• 对于Windows Vista之前的机器：可以使用本地管理员组内的用户哈希进行攻击。

• 对于Windows Vista及之后的机器：

  • 在工作组环境中：只有administrator（SID为500）用户的哈希可以用于攻击。其他用户，即使是管理员用户，也会收到“拒绝访问”的提示。

  • 在域环境中：仅域管理员组内的用户哈希（包括非administrator用户）可以用于攻击，成功后可访问域内任意机器。

使用mimikatz获取域控管理员权限cmd

当我们得到域控管理员用户的NtlmHash时，比如此处我获取到管理员用户的ntlmhash为e39c2287a10517cf1cde66bd8c7c6cf0，执行如下命令，执行完毕后会反弹一个域控管理员权限的cmd

mimikatz.exe "privilege::debug" "sekurlsa::pth /user:administrator /domain:10.10.10.10 /ntlm:e39c2287a10517cf1cde66bd8c7c6cf0"

利用域控管理员权限的cmd，可以进行更进一步的后渗透，比如dir查看域控目录和schtasks创建计划任务等等

CS执行psexec_psh横移上线

当我们扫描完内网获取到存活主机后，点击上方的准心图标，可以查看扫描到的主机。随后选择你要横移上线的目标主机，点击鼠标右键->Jump->psexec_psh

填写域控管理员用户、对应的NtlmHash以及其他信息

点击Launch后可以发现目标主机在CS上线

​