通过哈希教程

传递哈希是一种攻击方法,它试图使用被掠夺的密码哈希对远程系统进行身份验证。它允许您使用原始散列,这意味着您不需要解密散列或知道纯文本密码。这种攻击方法很容易危及共享相同凭据的其他机器。

如果您能够在渗透测试期间获取NTLM密码哈希,则可以运行传递散列元模块。它尝试使用Windows文件和打印共享服务,该服务通过称为服务器消息块(SMB)的协议操作,以对网络中的其他主机进行身份验证。

为了运行散列元模块,您必须具有抢劫的凭据对,该对由原始的NTLM哈希和关联的用户名组成。通过运行证据收集,通过手动浏览文件系统来定位安全帐户管理器(SAM),或通过转储密码哈希,可以从妥协的主机获取密码哈希。一旦您拥有有效的凭据对,您只需指定要元素测试凭据的目标主机。

在MetaModule运行期间,Metasploit Pro显示目标主机数量、尝试登录次数和成功登录次数的实时统计数据。您可以快速识别与获得NTLM散列的主机共享相同登录名的主机。您可以利用该信息在网络上横向移动,或者升级您的特权以获得对更高价值机器的访问。

当MetaModule完成它的运行时,它会生成一个完整的报告,其中提供了它能够成功验证的主机的详细信息。您可以与您的组织共享此报告,以暴露薄弱和共享的密码,并帮助减少其安全基础设施中的漏洞。

在你开始之前

在配置和运行Pass the Hash MetaModule之前,请确保您完成以下操作:

  • 获取一个NTLM哈希-在运行Pass the Hash MetaModule之前,您必须有一个原始的NTLM哈希,您可以手动输入用于测试,或者您的项目必须包含一个从受损系统中获取的NTLM哈希。

你应该知道的术语

  • 密码哈希- 加密算法生成的唯一数据,以加密纯文本密码。
  • 通过哈希-一种攻击方法,使用抢劫密码哈希访问网络上的其他系统。

步骤说明

  1. 登录Metasploit Pro web界面(https://localhost:3790)。
  2. 打开默认项目。
  3. 选择模块> MetaModules
  4. 找出通过哈希然后单击发射按钮。这通过哈希窗口出现。
  5. 范围选项卡,输入要用于测试的目标地址范围。
  6. 点击一下凭证标签。
  7. 选择以下选项之一,为MetaModule提供一个原始的NTLM散列:
  • 输入已知的凭据对—您需要手动输入用户名,然后输入您希望MetaModule使用的原始散列。您应该保留WORKGROUP作为域名,以便向本地计算机进行身份验证。
  • 选择现有的SMB哈希- 您可以从存储在项目中存储的抢劫密码哈希列表中选择用户名和哈希。
  1. 点击生成报告标签。
  2. 在。中输入报告的名称报名名称字段,如果要使用自定义报告名称。否则,元模型使用默认报告名称。
  3. 选择PDF、HTML或RTF的报表格式。首选PDF格式。
  4. 部分区域,取消选择不希望包含在报告中的任何部分。如果希望生成所有报告部分,请跳过此步骤。
  5. 选择电子邮件报告选项,如果您想在生成报告后通过电子邮件发送报告。如果启用此选项,则需要提供以逗号分隔的电子邮件地址列表。

如果要通过电子邮件发送电子邮件,您必须为Metasploit Pro设置本地邮件服务器或电子邮件中继服务。要定义邮件服务器设置,请选择管理>全局设置> SMTP设置

  1. 点击发射按钮。

当MetaModule启动时,发现窗口,并显示运行MetaModule的实时统计信息和任务日志。您可以跟踪MetaModule试图验证的主机总数、登录尝试的总数和成功登录的总数。如果您想查看所有事件的详细信息,您可以单击任务日志标签。

元模块完成运行后,你应该去报告区域,查看“通过哈希报告”。报告的前几页显示了图表和表格,提供了被破坏的主机和服务的高级分解。要更详细地了解主机,可以查看认证服务和主机详细信息节,其中显示了经过身份验证的服务和在每个主机上打开的会话。