NTLM 登录认证流程在域渗透中的作用; PTH(Pass-the-Hash) 和 PTK(Pass-the-Ticket) 是两种常见的攻击技术,PTT(Pass-the-Ticket) 是指攻击者利用窃取的 Kerberos 票证进行认证,而不需要密码。 与 Kerberos 认证 密切相关的重要票证:黄金票证(Golden Ticket)和白银票证(Silver Ticket)
NTLM 登录认证流程在域渗透中的作用
在进行域渗透测试时,NTLM(NT LAN Manager) 认证是一个常见的认证协议,它广泛应用于 Windows 网络中,特别是在 Windows 服务器和工作站之间进行认证时。在渗透测试过程中,了解和掌握 NTLM 登录认证的过程非常重要,因为攻击者可以利用NTLM协议进行多种攻击,比如凭证窃取、重放攻击和 NTLM 鬼影攻击等。
以下是 NTLM 登录认证的流程,帮助理解在域渗透中的作用:
1. 客户端请求身份验证
用户或客户端应用程序(例如,Windows 系统或浏览器)试图访问某个受保护的资源时,首先会发起一个请求,这个请求会发送到目标服务器。客户端并没有在此时提供其凭证,而是启动了一个挑战-响应过程。
2. 目标服务器发起挑战
- 目标服务器收到请求后,服务器会返回一个 挑战(Challenge)。这个挑战是一个包含随机数(称为 Nonce)的消息,目的是让客户端用来生成响应。
- 挑战消息包含一些服务器的认证信息,用来表明该请求来自于合法的服务器。
3. 客户端生成响应
- 客户端接收到挑战后,会使用用户的 NTLM哈希(而不是明文密码)和随机的 Nonce 来生成一个 响应(Response)。
- 客户端计算 NTLM 响应的过程如下:
- 客户端将用户的 NTLM 哈希(由用户密码生成)和目标服务器提供的挑战(Nonce)一起,经过加密生成响应消息。
- 响应消息通常会被返回给目标服务器,表示客户端已经使用本地密码哈希正确响应了服务器的挑战。
4. 服务器验证响应
- 服务器在收到客户端的响应后,会将这个响应与自己保存的用户凭证(即 NTLM 哈希)进行比对。服务器通过以下步骤进行验证:
- 服务器通过对客户端传递的响应进行解密,获取一个计算结果。
- 服务器会将计算结果与其记录中的哈希值进行比对,看是否一致。
- 如果一致,说明身份验证成功,客户端可以访问服务器资源;如果不一致,则认证失败。
5. 会话建立
- 一旦身份验证成功,服务器会为客户端分配访问令牌(Token),这个令牌包含了客户端的身份和访问权限。
- 之后,客户端和服务器之间的通信将通过这个令牌进行授权,确保只有经过认证的用户能够访问相应资源。
NTLM 登录认证的特点与弱点
-
明文密码和哈希的存储:
- 在 NTLM 认证中,NTLM哈希 作为凭证存储在系统中,而不是明文密码,这使得攻击者即便获得了 NTLM 哈希,也能使用这些哈希进行攻击(如 Pass-the-Hash(PTH)攻击)。
-
NTLM 鬼影攻击(NTLM Relay Attack):
- NTLM 鬼影攻击是攻击者通过中间人方式,劫持并转发 NTLM 认证请求,将认证请求伪装成合法的请求来进行攻击。在这种攻击中,攻击者可以利用伪造的凭证,迫使目标服务器或其他网络服务接受攻击者的身份。
-
NTLM 重放攻击:
- 在 NTLM 协议中,认证过程中传输的挑战-响应对可以被攻击者捕获,并通过重放方式重新发送,模拟一个有效的认证过程,达到获取访问权限的目的。
-
无法提供真正的多因素认证:
- NTLM 仅依赖用户名和密码(或哈希)进行认证,不像其他更现代的协议(如 Kerberos)支持多因素认证。
在渗透测试中的使用
-
收集 NTLM 哈希: 在渗透测试中,攻击者通常通过 网络嗅探 或 暴力破解 获取用户的 NTLM 哈希。这些哈希可以用于各种攻击,如 Pass-the-Hash。
-
Pass-the-Hash(PTH)攻击: 攻击者一旦获得了 NTLM 哈希,便可以通过 PTH 攻击来伪造认证请求,访问其他系统,而不需要知道实际的密码。
-
NTLM 鬼影攻击(Relay Attack): 通过中间人攻击(例如,SMB 代理)来劫持 NTLM 认证请求并转发到其他主机,从而利用目标服务器的身份验证进行未授权访问。
-
漏洞扫描与管理: 渗透测试人员会利用工具扫描域环境中的 NTLM 配置和漏洞,寻找可以提升权限的机会。例如,使用工具如 Responder 和 Metasploit 来进行 NTLM 鬼影攻击。
总结
NTLM 认证是 Windows 网络中广泛使用的认证协议,但它存在许多安全弱点,特别是在域环境中。渗透测试人员可以利用这些弱点(如 NTLM 哈希窃取、Pass-the-Hash 攻击、NTLM 鬼影攻击等)进行网络渗透与攻击。因此,在进行域渗透测试时,了解 NTLM 认证的详细流程及其弱点是非常重要的。
在渗透测试和域渗透过程中,PTH(Pass-the-Hash) 和 PTK(Pass-the-Ticket) 是两种常见的攻击技术,主要用于绕过传统的身份验证方法,直接利用获取到的凭证进行未经授权的访问。它们都是渗透测试人员在获取敏感凭证(如 NTLM 哈希或 Kerberos 票证)后,进行更深入渗透的工具。
1. PTH(Pass-the-Hash)
PTH 是利用已窃取的 NTLM 哈希值进行身份验证的攻击方法,而无需知道目标账户的明文密码。这种攻击技术利用 NTLM 协议的缺陷,使攻击者可以在不破解密码的情况下获取访问权限。
PTH 攻击的流程:
-
收集 NTLM 哈希: 攻击者通过网络嗅探(如 SMB、Net-NTLM 等协议的抓包)或本地利用工具(如 Mimikatz、Responder)获得目标系统的 NTLM 哈希。
-
发起攻击: 攻击者利用获得的 NTLM 哈希直接向目标系统发起身份验证请求。由于 NTLM 协议允许使用哈希代替明文密码,攻击者可以通过哈希验证身份。
-
访问受限资源: 通过成功的 PTH 攻击,攻击者可以绕过传统的密码输入过程,访问目标系统或服务,前提是目标系统对 NTLM 认证有启用且没有额外的保护机制。
PTH 攻击的工具:
- Mimikatz:可以提取 NTLM 哈希并进行 Pass-the-Hash 攻击。
- Impacket:提供了一些 Python 工具,能帮助执行 Pass-the-Hash 攻击。
- Responder:用于在网络中嗅探 NTLM 认证并劫持用户的认证请求。
PTH 攻击的限制:
- 目标系统需要支持 NTLM 认证。
- 只能在相同的网络环境中或有权限与目标系统通信时使用。
2. PTK(Pass-the-Ticket)
PTK 是针对 Kerberos 认证协议的攻击技术。Kerberos 是用于验证网络服务请求的主要协议,而 PTK 攻击就是通过使用窃取到的 Kerberos 票证(Ticket)进行身份验证,类似于 PTH,但它使用的是 Kerberos 票证而非 NTLM 哈希。
PTK 攻击的流程:
-
收集 Kerberos 票证(TGT 或 TGS): 攻击者需要首先获取一个有效的 Kerberos 票证。可以通过 Mimikatz 等工具从内存中提取出目标用户的 Kerberos 票证(TGT 或 TGS)。
-
伪造 Kerberos 票证: 攻击者也可以利用获取到的票证,通过修改票证中的内容(如目标系统、权限等),来进行伪造。通过这种方式,攻击者可以伪装成任何有权限的用户。
-
通过 Kerberos 票证认证: 使用窃取或伪造的 Kerberos 票证,攻击者可以向目标系统发起请求,并通过 Kerberos 认证进行身份验证。这使得攻击者能够在不输入密码的情况下,获得访问权限。
-
访问目标资源: 一旦成功的进行 PTK 攻击,攻击者可以访问目标资源,甚至执行进一步的横向渗透。
PTK 攻击的工具:
- Mimikatz:能够提取并重用 Kerberos 票证执行 PTK 攻击。
- Impacket:提供了
pass-the-ticket功能,允许攻击者将 Kerberos 票证插入到系统中进行认证。
PTK 攻击的特点:
- PTK 攻击依赖于 Kerberos 认证协议,因此只适用于启用了 Kerberos 的环境。
- 可以在获取到用户的 Kerberos TGT 后进行横向渗透,攻击者可以访问多个服务,只要这些服务都支持 Kerberos 身份验证。
PTH 和 PTK 的区别
| 特点 | PTH(Pass-the-Hash) | PTK(Pass-the-Ticket) |
|---|---|---|
| 认证协议 | NTLM 认证 | Kerberos 认证 |
| 目标凭证 | NTLM 哈希 | Kerberos 票证(TGT 或 TGS) |
| 攻击方式 | 使用窃取的 NTLM 哈希直接认证 | 使用窃取或伪造的 Kerberos 票证进行认证 |
| 工具 | Mimikatz、Impacket、Responder 等 | Mimikatz、Impacket 等 |
| 适用环境 | 适用于 Windows 网络中启用 NTLM 的环境 | 适用于启用了 Kerberos 的 Windows 网络环境 |
| 限制 | 需要网络中存在对 NTLM 认证的支持 | 需要有效的 Kerberos 票证(TGT 或 TGS) |
总结
- PTH 主要是针对 NTLM 认证协议的攻击,攻击者通过利用已窃取的 NTLM 哈希来进行身份验证。
- PTK 针对 Kerberos 认证协议,攻击者通过获取、伪造或窃取的 Kerberos 票证来实现身份认证,能够在没有密码的情况下访问多个服务。
两者都是渗透测试中的重要攻击方法,能够帮助攻击者在域环境中绕过传统的身份验证机制,进一步扩大攻击面,获得系统的控制权。在进行域渗透测试时,掌握这两种技术的使用方法及其防御对策非常重要。
在渗透测试中,Kerberos协议 是一种重要的身份验证协议,广泛应用于许多企业网络中,特别是 Windows 域控制器(Active Directory)环境中。利用 Kerberos 协议的攻击技术,可以实现深入渗透和横向移动。
PTT(Pass-the-Ticket) 是指攻击者利用窃取的 Kerberos 票证进行认证,而不需要密码。这种技术是 Kerberos 协议的一种典型攻击方式,帮助攻击者绕过传统的身份验证方式,实现对目标系统或服务的访问。
1. Kerberos 协议概述
Kerberos 是一种基于票证的网络认证协议,最早由 MIT 开发,用于通过密钥分配中心(KDC)实现客户端与服务器之间的安全认证。Kerberos 协议的工作流程如下:
- 身份验证请求:客户端向 KDC 请求身份验证。客户端向 KDC 提交请求,要求验证其身份。
- TGT(Ticket Granting Ticket):如果身份验证通过,KDC 将颁发一个 TGT 给客户端。TGT 是客户端与 KDC 之间的一个会话票证,客户端以后使用 TGT 获取访问其他服务的票证。
- 服务票证请求:客户端使用 TGT 请求对某一特定服务(如文件共享、Web 服务器等)的访问权限。KDC 会根据 TGT 给客户端颁发服务票证(TGS)。
- 服务访问:客户端使用获取的服务票证与目标服务进行认证,最终访问资源。
Kerberos 协议的特点:
- 单点登录(SSO):用户只需在首次访问时输入密码,之后的请求均可以使用 Kerberos 票证认证,无需重复输入密码。
- 票证机制:通过 TGT 和服务票证,Kerberos 实现了安全、高效的身份验证。
2. PTT(Pass-the-Ticket)攻击
PTT(Pass-the-Ticket) 是针对 Kerberos 协议的一种攻击方式,攻击者通过窃取、伪造或重放 Kerberos 票证(TGT 或 TGS)来进行身份验证,而无需知道目标账户的密码。
PTT 攻击的流程:
-
获取 Kerberos 票证(TGT 或 TGS): 攻击者通过多种手段获取有效的 Kerberos 票证,常见的手段包括从内存中提取票证或通过社会工程学手段获得。工具如 Mimikatz 可以从内存中提取 Kerberos 票证。
-
使用窃取的票证: 攻击者利用窃取的 Kerberos 票证,模拟合法用户与目标系统进行通信。由于 Kerberos 协议允许凭借票证进行身份验证,攻击者无需提供密码。
-
伪造 Kerberos 票证: 如果攻击者能够访问 KDC 或具有特权,可以伪造 Kerberos 票证。这是一个高效的攻击方式,允许攻击者创建自己的票证并用它来认证自己。
-
横向渗透: 攻击者通过使用 Kerberos 票证,可以访问网络中多个服务,进行横向渗透,进一步扩大攻击范围。
PTT 攻击的工具:
- Mimikatz:能够提取、使用、伪造 Kerberos 票证,是进行 PTT 攻击的常用工具。
- Impacket:提供了
pass-the-ticket工具,用于操作 Kerberos 票证并执行相应攻击。
PTT 攻击的影响:
- 绕过身份验证:攻击者可以绕过密码验证过程,直接利用 Kerberos 票证进行身份验证。
- 访问权限扩大:一旦获取到有效的 Kerberos 票证,攻击者可以访问多个服务,甚至提升权限。
3. PTT 攻击的实现与防御
实现过程:
-
获取有效的 Kerberos 票证:
- 提取 Kerberos 票证:使用 Mimikatz 工具从内存中提取当前已登录用户的 Kerberos 票证。
- 使用 Kerberos 票证:利用窃取到的 Kerberos 票证进行身份验证,访问目标系统或服务。
-
利用 Kerberos 票证发起攻击:
- 通过 Impacket 的
psexec.py等工具,利用窃取的 Kerberos 票证对目标系统进行身份验证和命令执行。 - 进行横向渗透:在同一域内,攻击者可以利用窃取的票证访问多个系统和服务。
- 通过 Impacket 的
防御策略:
- 启用强密码和多因素认证:即使攻击者获取到 Kerberos 票证,如果账户本身有强密码保护或启用了多因素认证,攻击的成功几率会降低。
- 最小化权限:限制具有管理员权限的用户数量,确保 Kerberos 票证不易被窃取。
- Kerberos 票证生命周期管理:定期刷新 Kerberos 票证,缩短票证有效期,减少票证被滥用的风险。
- 监控和审计:通过安全信息和事件管理(SIEM)系统,监控和分析 Kerberos 票证的异常使用情况,及时发现潜在的攻击行为。
- 使用密钥生命周期管理:定期更换密钥,限制长期使用的票证,避免单一票证长期有效导致被攻击者滥用。
4. 总结
- Kerberos 协议 是现代企业网络中常用的身份验证协议,尤其是在 Windows 域环境中,提供了高效、安全的身份验证。
- PTT(Pass-the-Ticket) 攻击是针对 Kerberos 协议的一种技术,攻击者通过窃取、伪造或重放 Kerberos 票证进行身份验证,绕过密码验证。
- 渗透测试人员通过窃取 Kerberos 票证并利用 Mimikatz、Impacket 等工具实现 Pass-the-Ticket 攻击,可以进行横向渗透和提高权限。
- 对于防御者,了解 Kerberos 协议和 PTT 攻击机制,并采取适当的安全措施(如加强密码策略、审计和监控等)是保护网络安全的重要步骤。
了解 Kerberos 协议的工作原理以及如何防御 PTT 攻击,对于提高组织网络的安全性具有重要意义。
在 渗透测试 中,域渗透(Domain Penetration)指的是攻击者通过各种方式突破企业网络的边界,进入到域环境(特别是 Active Directory)中,然后在内部网络中横向渗透,获取更高权限并窃取敏感数据。
在域渗透过程中,有两种与 Kerberos 认证 密切相关的重要票证:黄金票证(Golden Ticket)和白银票证(Silver Ticket)。这两种票证被攻击者用于绕过身份验证机制,进行权限提升和横向渗透。了解这些票证及其工作原理,对于渗透测试人员进行深度渗透和对抗防御人员的监控与反制至关重要。
1. 黄金票证(Golden Ticket)
黄金票证是针对 Kerberos 协议进行攻击时最强大的工具之一。攻击者通过获取和伪造一个 TGT(Ticket Granting Ticket),可以实现对整个域的控制。黄金票证的能力相当强大,因为它可以让攻击者在网络中的所有资源上进行身份验证,几乎不受任何限制。
黄金票证的工作原理:
-
获取 Kerberos 密钥(KRBTGT 密钥):
- KRBTGT 是域控制器上的一个关键账户,它用于加密和签名 Kerberos TGT 票证。攻击者必须首先获取这个密钥。
- 获取 KRBTGT 密钥 的方式通常是通过提取域控制器的哈希值,或者在域控制器上获取管理员权限后提取此密钥。
-
伪造 TGT(黄金票证):
- 一旦攻击者获得了 KRBTGT 密钥,就可以使用工具(如 Mimikatz)伪造一个有效的 TGT。
- 黄金票证的伪造票证可以包含任意的 用户信息,并授予攻击者几乎无限制的权限,如管理员权限。
-
通过黄金票证进行身份验证:
- 使用伪造的黄金票证,攻击者可以在域内的任何系统上进行认证,绕过传统的身份验证过程。
- 攻击者可以通过黄金票证以域管理员身份访问任意资源,甚至可以提权到根域控制器。
黄金票证的影响:
- 持久性:一旦黄金票证被生成,攻击者可以长期控制域环境,直到票证过期或被检测和撤销。
- 跨系统控制:攻击者能够访问域中的所有资源,包括工作站、服务器、网络共享等。
- 强大的权限:攻击者可以获得域管理员权限,进一步进行权限提升、数据窃取等。
防御黄金票证的策略:
- 定期更换 KRBTGT 密钥:确保定期更换 KRBTGT 密钥,使得即使攻击者获得了密钥,也能减少黄金票证有效期。
- 监控和审计:通过 SIEM 系统检测可疑的 Kerberos 票证行为,比如在没有合法凭据的情况下突然出现的高级权限票证。
- 加密和保护密钥:加密存储和访问域控制器的密钥,减少攻击者提取密钥的风险。
2. 白银票证(Silver Ticket)
白银票证是一种局限于特定服务的 Kerberos 票证,它用于绕过特定服务的身份验证。与黄金票证不同,白银票证只会影响单一服务的访问权限,而不会赋予攻击者域管理员权限。攻击者通过伪造白银票证可以获得访问某些特定资源(如文件服务器、数据库等)的权限。
白银票证的工作原理:
-
获取服务的密钥(Service Account 密钥):
- 白银票证的核心是伪造一个有效的服务票证(TGS)。攻击者需要获取目标服务帐户的密钥。
- 这些密钥通常存储在域控制器上,攻击者可以通过各种手段获得,常见的方法是利用 Mimikatz 提取服务账户的 NTLM 哈希值。
-
伪造服务票证:
- 一旦攻击者获取到服务帐户的密钥,攻击者可以使用该密钥伪造出针对特定服务的 Kerberos 票证(即白银票证)。
- 白银票证中包含了被伪造的服务账户信息,攻击者利用该票证可以冒充合法用户与目标服务进行身份验证。
-
通过白银票证访问服务:
- 攻击者可以利用伪造的白银票证,访问特定的服务(如文件共享、数据库服务等),并以该服务的权限执行操作。
白银票证的影响:
- 局部攻击:白银票证通常只影响特定的服务访问权限,攻击者可以在该服务上执行操作,但无法访问整个域。
- 横向渗透:攻击者可以通过伪造白银票证,在目标服务上获得进一步的控制,进行横向渗透或收集敏感信息。
防御白银票证的策略:
- 限制服务账户的权限:确保服务帐户仅拥有其所需的最小权限,避免服务账户过度授权。
- 加密服务密钥:确保服务密钥不会被轻易获取,使用更强的保护措施存储密钥。
- 定期更换服务账户密码:为防止攻击者长时间利用窃取的服务帐户密钥,定期更换服务账户密码。
3. 黄金票证与白银票证的对比
| 特性 | 黄金票证(Golden Ticket) | 白银票证(Silver Ticket) |
|---|---|---|
| 影响范围 | 允许攻击者访问整个域的资源,包括所有的服务和计算机。 | 只影响特定服务的访问权限,局限于特定的服务。 |
| 所需的权限 | 攻击者需要获得 KRBTGT 密钥,通常需要域管理员权限或对域控制器的访问。 | 攻击者需要获得目标服务的 服务账户密钥。 |
| 攻击效果 | 攻击者可以获得域管理员权限,几乎可以访问任何资源。 | 攻击者只能访问特定的服务,但可以进行横向渗透。 |
| 防御难度 | 防御较为复杂,需要定期更换 KRBTGT 密钥 和加强域控制器的保护。 | 防御相对较容易,主要是保护服务账户的密钥和定期更换密码。 |
| 使用工具 | Mimikatz、Impacket 等工具可以用于生成和使用黄金票证。 | Mimikatz、Impacket 等工具可以用于生成和使用白银票证。 |
4. 总结
- 黄金票证 和 白银票证 是两种与 Kerberos 认证相关的重要攻击技术,前者可以让攻击者获得对整个域的完全控制,后者则可以让攻击者获得对特定服务的控制。
- 黄金票证 攻击通常涉及对 KRBTGT 密钥 的获取,而 白银票证 攻击则是通过伪造服务票证来访问特定服务。
- 在渗透测试中,了解这些攻击技术以及如何防御它们,对于评估网络安全性和提高防御能力至关重要。
在渗透测试中,域渗透(Domain Penetration Testing)是评估企业域环境安全性的重要环节。渗透测试的目标是识别和利用潜在的漏洞、 misconfigurations、弱密码等,通过对内网进行横向渗透、权限提升等操作来模拟攻击者入侵企业网络。为了进行内网渗透,渗透测试人员通常会借助各种工具和插件来执行不同的攻击技术。
CS(Cobalt Strike)内网渗透插件
Cobalt Strike 是一种流行的商业化渗透测试工具,常用于执行内网渗透、侧向渗透、后门植入等操作。它本身具备大量功能,同时支持第三方插件,以提高渗透效率。下面列举了一些常用的 Cobalt Strike 插件,适用于内网渗透和域渗透场景。
1. PowerShell Empire
- 描述:PowerShell Empire 是一个强大的 PowerShell 无文件框架,常用于内网渗透。它支持各种远程执行功能,包括反向 Shell、上传文件、抓取凭证、侧向移动等。由于它完全基于 PowerShell 编写,可以在 Windows 环境中运行且不需要任何额外的二进制文件。
- Cobalt Strike 集成方式:PowerShell Empire 可以与 Cobalt Strike 进行集成,用于扩展 Cobalt Strike 的攻击能力,特别是在进行 PowerShell 脚本执行时。
- 功能:
- 反向连接和持久化
- 密码抓取(例如 NTLM 哈希)
- 横向渗透
- 提权
2. Beacon Object Files (BOF)
- 描述:Beacon Object Files(BOF)是 Cobalt Strike 中的原生插件,允许渗透测试人员将 Cobalt Strike 的 Beacon 功能嵌入到其他进程中,如 PowerShell 或进程注入中,从而实现隐蔽控制。
- Cobalt Strike 集成方式:BOF 可以作为 Cobalt Strike 中的脚本文件调用,它使用 C 或汇编语言编写,可以直接执行攻击命令并返回结果。
- 功能:
- 利用现有进程进行后门植入
- 执行内存中操作以避免被检测
- 利用 DLL 注入等技术在内存中操控其他进程
3. Mimikatz
- 描述:Mimikatz 是用于从 Windows 系统内存中提取密码、NTLM 哈希、Kerberos 票证等的工具,是进行域渗透、权限提升和横向渗透的重要插件之一。
- Cobalt Strike 集成方式:Mimikatz 可以通过 BOF 或 PowerShell 在 Cobalt Strike 中调用。测试人员可以利用该插件获取登录凭证,进行横向渗透。
- 功能:
- 提取内存中的密码和哈希
- 破解 Kerberos 票证
- 生成黄金票证和白银票证
- 恢复域控制器管理员密码
4. Kerberos Attacks (Kerberos Brute Force)
- 描述:Kerberos 攻击插件是通过利用 Kerberos 协议中的漏洞来进行内网渗透的工具。通过对 TGT(Ticket Granting Ticket)进行暴力破解或使用不安全的 Kerberos 配置,攻击者可以获得访问权限。
- Cobalt Strike 集成方式:可以通过 Cobalt Strike 的Kerberos 插件与 BOF 脚本结合使用,执行 Kerberos 暴力破解等攻击操作。
- 功能:
- 破解 Kerberos TGT 和服务票证
- 攻击不安全的配置(例如弱密码)
5. SMBRelay (SMB Relay Attack)
- 描述:SMB 传递攻击是内网渗透中常用的一种技术,攻击者通过伪造 SMB 请求,截获和中继传输的凭证,实现横向渗透。
- Cobalt Strike 集成方式:可以与 Cobalt Strike 集成,通过其SMB Relay 插件执行此类攻击。插件可以协助攻击者将捕获的 SMB 凭证传递到目标机器上并进行验证。
- 功能:
- 利用 SMB 漏洞进行横向渗透
- 捕获和转发 NTLM 哈希
- 提升目标机器上的权限
6. CrackMapExec (CME)
- 描述:CrackMapExec(CME)是一个常见的内网渗透工具,用于执行横向渗透、密码破解、凭证抓取等任务。它非常适合在大规模的 Windows 网络环境中使用。
- Cobalt Strike 集成方式:CME 可以通过 Cobalt Strike 中的脚本功能进行调用。通过集成,渗透测试人员可以快速检测多个系统的共享服务、开启的端口、系统漏洞等。
- 功能:
- 自动化横向渗透
- 批量执行命令
- 获取 SMB 凭证、Netcat 监听等操作
- 整合密码喷射攻击(Password Spraying)
7. Empire
- 描述:Empire 是一个强大的后渗透框架,专门用于 PowerShell 环境。它提供了一个用于生成和控制反向 shell、命令执行以及其他后渗透任务的模块。
- Cobalt Strike 集成方式:Cobalt Strike 可以与 Empire 集成,使用 Empire 的 PowerShell 无文件攻击和持久化功能,通过脚本调用模块。
- 功能:
- PowerShell 无文件反向 shell
- 密码抓取
- 横向渗透和提权
- 生成可执行的后门
8. Impacket
- 描述:Impacket 是一个集合了大量网络协议工具的 Python 库,专门用于执行内网渗透攻击,支持 SMB、MSRPC、WMI、Kerberos 等协议的操作。
- Cobalt Strike 集成方式:Cobalt Strike 通过 Python 和 PowerShell 脚本集成 Impacket 的功能,提供强大的 SMB 认证攻击、凭证抓取、利用 NTLM 哈希等功能。
- 功能:
- 使用 SMB、RDP、WMI 等协议进行横向渗透
- 获取 Windows 凭证
- 执行远程代码执行
9. BloodHound
- 描述:BloodHound 是一款用于 Active Directory 权限提升和横向渗透的工具,它能够帮助攻击者发现和利用 AD 中的权限链(如滥用的管理员权限)。
- Cobalt Strike 集成方式:可以通过集成 BloodHound 的数据收集插件,评估 Active Directory 环境的权限链,帮助攻击者发现潜在的提升路径。
- 功能:
- 查找并分析 Active Directory 的权限配置
- 模拟 AD 内的权限提升路径
- 自动化权限提升攻击
总结
Cobalt Strike 是一个强大的渗透测试工具,通过集成不同的插件和工具,可以有效地执行域渗透和内网渗透的各类任务。这些插件包括 Mimikatz、Empire、Impacket 等常见的渗透工具,它们可以帮助渗透测试人员在实际渗透过程中抓取凭证、暴力破解票证、横向渗透和提升权限。结合这些工具,渗透测试人员能够模拟攻击者的攻击路径,全面评估组织网络的安全性。
浙公网安备 33010602011771号