type
Post
status
Published
date
Dec 12, 2022
slug
summary
tags
攻防
内网
category
技术分享
icon
password
Property
Feb 9, 2023 07:21 AM
这篇文章虽讲述的是mimikatz下的Hash传递攻击,但是攻击原理对于其他工具是一样的,所以Hash传递攻击的检测原理也会是一样的
攻击
场景:当我们拿下一台主机并且通过DumpHash方式抓取到了用户密码,在域中发现了其他机器的同时,我们之后还可以做横向攻击以拿下更多机器权限。何为横向,就不介绍了。
举例说明,先通过Dump用户Hash方式抓取到NTLM Hash,将用户凭证替换进行hash传递,mimikatz的执行命令如下:
privilege::debug sekurlsa::pth /user:admimistrator /domain:com.test /ntlm:56359daff33efxxx79cb83db415e1abc
发现
确认上述攻击成功以后呢,服务端并没有可疑的日志产生,哪怕是一些认证凭据的请求记录都没有。所以只能把检测日志放到发起攻击的机器上面,可以看到
EventID=4624的日志记录
在攻击机器的日志记录可以看到该登录日志的信息
1、
LogonType=9即登录类型为NewCredentials,即调用方克隆了其当前令牌并为出站连接指定了新凭据。 新登录会话具有相同的本地标识,但对其他网络连接使用不同的凭据。2、
LogonProcessName即受信任登录进程为seclogo3、
AuthenticationPackageName即身份验证包为Negotiate,协商安全包在Kerberos和NTLM协议之间进行选择检测
综上所述,以上是最有可疑的日志了。所以windows eventlog筛选语句建议如下:
<QueryList><Query Id='0' Path='Security'><Select Path='Security'>*[System[(EventID='4624') and TimeCreated[timediff(@SystemTime)<=604800000]]] and *[EventData[Data[@Name='LogonType']='9' and Data[@Name='LogonProcessName']='seclogo' and Data[@Name='AuthenticationPackageName']='Negotiate']]</Select></Query></QueryList>
- Author:w1nk1
- URL:https://notion-w1nk1.vercel.app//article/5b82092d-4216-4633-adab-62ad12360803
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
Relate Posts
