传递哈希教程

传递哈希是一种攻击方法,它试图使用被掠夺的密码哈希对远程系统进行身份验证。它允许您使用原始散列,这意味着您不需要解密散列或知道纯文本密码。这种攻击方法很容易危及共享相同凭据的其他机器。

如果您能够在渗透测试期间获得一个NTLM密码哈希值,则可以运行Pass the hash MetaModule。它试图使用Windows文件和打印共享服务,该服务通过一种被称为服务器消息块(SMB)的协议运行,向网络中的其他主机进行身份验证。

为了运行Pass the Hash MetaModule,您必须有一个被抢劫的凭证对,它由一个原始的NTLM散列和相关的用户名组成。密码哈希可以通过运行证据收集、手动浏览文件系统以定位安全帐户管理器(SAM)或转储密码哈希从被攻击的主机获取。一旦您拥有了有效的凭据对,您只需指定希望MetaModule根据其测试凭据的目标主机。

在MetaModule运行期间,Metasploit Pro显示目标主机数量、尝试登录次数和成功登录次数的实时统计数据。您可以快速识别与获得NTLM散列的主机共享相同登录名的主机。您可以利用该信息在网络上横向移动,或者升级您的特权以获得对更高价值机器的访问。

当MetaModule完成它的运行时,它会生成一个完整的报告,其中提供了它能够成功验证的主机的详细信息。您可以与您的组织共享此报告,以暴露薄弱和共享的密码,并帮助减少其安全基础设施中的漏洞。

在你开始之前

在配置和运行Pass the Hash MetaModule之前,请确保您完成以下操作:

  • 获取一个NTLM哈希-在运行Pass the Hash MetaModule之前,您必须有一个原始的NTLM哈希,您可以手动输入用于测试,或者您的项目必须包含一个从受损系统中获取的NTLM哈希。

你应该知道的术语

  • 密码散列—加密算法生成的唯一数据串,用于加密明文密码。
  • 通过哈希-一种攻击方法,使用抢劫密码哈希访问网络上的其他系统。

步骤说明

  1. 登录Metasploit Pro web界面(https://localhost:3790)。
  2. 打开默认项目。
  3. 选择模块> MetaModules
  4. 找到通过哈希然后单击发射按钮。的通过哈希窗口出现。
  5. 范围选项卡,输入要用于测试的目标地址范围。
  6. 点击凭证选项卡。
  7. 选择以下选项之一,为MetaModule提供一个原始的NTLM散列:
  • 输入已知的凭据对—您需要手动输入用户名,然后输入您希望MetaModule使用的原始散列。您应该保留WORKGROUP作为域名,以便向本地计算机进行身份验证。
  • 选择一个现有的SMB散列-你可以选择一个用户名和哈希从一个列表的洗劫密码哈希存储在项目。
  1. 单击生成报告选项卡。
  2. 在。中输入报告的名称报告名称字段,如果您想使用自定义报表名称。否则,MetaModule将使用默认的报告名称。
  3. 选择PDF、HTML或RTF的报表格式。首选PDF格式。
  4. 部分区域,取消选择不希望包含在报告中的任何部分。如果希望生成所有报告部分,请跳过此步骤。
  5. 选择电子邮件报告选项,如果您想在生成报告后通过电子邮件发送报告。如果启用此选项,则需要提供以逗号分隔的电子邮件地址列表。

如果要通过电子邮件发送报告,必须设置Metasploit Pro要使用的本地邮件服务器或电子邮件中继服务。要定义邮件服务器设置,请选择管理>全局设置> SMTP设置

  1. 单击发射按钮。

当MetaModule启动时,发现窗口,并显示运行MetaModule的实时统计信息和任务日志。您可以跟踪MetaModule试图验证的主机总数、登录尝试的总数和成功登录的总数。如果您想查看所有事件的详细信息,您可以单击任务日志选项卡。

在MetaModule完成它的运行之后,您应该执行报告区域,查看“通过哈希报告”。报告的前几页显示了图表和表格,提供了被破坏的主机和服务的高级分解。要更详细地了解主机,可以查看认证服务和主机详细信息节,其中显示了经过身份验证的服务和在每个主机上打开的会话。