获课：97it.top/17279/

### 哈希传递攻击：在无法解密密码的情况下利用NTLM Hash控制域内主机

在内网渗透测试与高级持续性威胁（APT）攻击中，哈希传递（Pass-the-Hash, PtH）是一种极为关键的横向移动技术。它允许攻击者在**无法获取用户明文密码**的情况下，仅凭用户的NTLM哈希值，便能冒充该用户身份通过目标系统的身份验证，进而控制域内主机。这一技术绕过了传统密码破解的耗时过程，直接利用认证机制的特性实现权限跃迁。

#### 原理剖析：为何NTLM认证可被“传递”？

要理解哈希传递，首先需深入NTLM身份验证协议的“挑战-响应”机制。在NTLM认证流程中，客户端（Client）与服务器（Server）并非直接传输密码或哈希，而是通过以下步骤完成验证：

1. **协商与质询**：客户端向服务器发起认证请求，发送用户名。服务器收到后，在其本地账户数据库（如SAM或AD）中查找该用户对应的NTLM哈希。服务器生成一个随机的16字节“挑战”（Challenge），并使用该哈希对Challenge进行加密，生成一个预期的响应（Net-NTLM Hash），将其存于内存中。随后，服务器将原始的Challenge发送给客户端。

2. **响应**：客户端接收Challenge，使用其本地获取的用户NTLM哈希（通常从内存中的lsass.exe进程提取）对Challenge进行同样的加密运算，生成Response，并发送回服务器。

3. **验证**：服务器对比自己计算出的Net-NTLM Hash与客户端发回的Response。若一致，则认证通过。

**攻击的核心洞察在于**：整个认证过程，客户端唯一需要的“密钥”就是用户的NTLM哈希。只要攻击者能够获取到这个哈希值（例如通过Mimikatz从已攻陷主机的内存中Dump），他就可以模拟客户端的行为，直接参与“挑战-响应”过程。由于服务器并不关心客户端是从明文密码计算出的哈希，还是直接持有哈希值，因此攻击者无需知道明文密码即可完成认证。

#### 攻击实施：从哈希到系统权限

哈希传递攻击通常发生在攻击者已获取域内某台主机的本地管理员或域用户权限之后。其典型的攻击链条如下：

1. **凭证窃取**：在已控制的主机上，攻击者利用工具（如Mimikatz）读取内存中lsass.exe进程存储的认证信息，成功Dump出本地或域用户的NTLM哈希。此时，密码可能非常复杂且无法被轻易破解，但这并不影响后续攻击。

2. **横向探测**：攻击者利用已获取的权限，在内网中进行扫描，寻找其他开放SMB（445端口）、WMI或WinRM服务的主机，并判断这些主机上是否存在与已获取哈希对应的用户账户（通常通过RID循环或SPN扫描）。

3. **哈希传递**：当发现目标主机上存在密码复用的账户时，攻击者使用支持PtH的工具（如Impacket套件中的psexec.py、CrackMapExec等），将获取到的NTLM Hash作为认证凭据，发起连接请求。

4. **会话建立与权限获取**：工具利用NTLM协议完成挑战-响应，成功通过目标主机的认证。攻击者此时将获得一个具有该用户权限的交互式Shell（如SYSTEM权限或域管理员权限），从而完全控制目标主机。

这一过程不仅限于访问远程桌面，还可以用于读写SMB共享文件、执行远程命令、甚至进一步Dump目标主机的哈希，形成“跳板”，不断扩大控制范围，直至获取域控权限。

#### 防御策略：构建纵深防御体系

面对哈希传递攻击，单纯依靠终端杀毒软件（AV）往往难以奏效，因为攻击行为不依赖恶意文件落地。有效的防御需要从协议加固、权限管理和行为监控三个维度入手。

**协议与配置加固是第一道防线。** 微软提供的SMB签名（SMB Signing）机制可以有效防御部分PtH攻击。当目标主机强制要求SMB签名时，攻击者若使用的工具未实现完整的签名逻辑，则连接会被拒绝。此外，更根本的解决方案是**限制并最终禁用NTLM协议**，强制使用更安全的Kerberos协议。Kerberos基于票据机制，其密钥不会长期驻留内存，且票据具有时效性，极大增加了窃取和重用的难度。

**实施最小权限原则与账户隔离。** 攻击者能成功横向移动，往往是因为普通用户的权限过高，或不同主机间存在共享的本地管理员账户。企业应严格控制用户权限，避免使用域管理员账户进行日常操作，并确保不同主机的本地管理员账户密码各不相同，从而切断“一处沦陷，全网皆输”的链条。

**增强监控与行为分析能力。** 虽然PtH不产生明文密码流量，但其行为模式具有特征。例如，短时间内针对多台主机的SMB连接尝试、异常时间的域用户登录、以及NTLM认证日志中的特定事件ID（如4624带有特定登录类型），都可能是攻击的征兆。通过部署SIEM系统和EDR解决方案，对这些日志进行关联分析，可以及时发现并阻断哈希传递攻击的横向移动。

综上所述，哈希传递攻击利用了NTLM认证机制的固有特性，是一种高效的内网横向移动手段。防御此类攻击，不仅需要技术层面的协议加固，更需要在管理层面实施严格的权限控制和持续的威胁狩猎。