以下是关于“Pass the hash”漏洞的关键信息,以简洁的markdown格式呈现: 关键信息 Description: Pass the Hash: 一种黑客技术,允许攻击者通过使用用户密码的NTLM或LM哈希值而不是明文密码来对远程服务器或服务进行身份验证。 工作原理: 利用身份验证协议中的实现弱点,密码哈希在整个会话中保持静态,直到密码更改。 适用范围: 适用于任何使用LM或NTLM身份验证的服务器或服务,无论其运行在Windows、Unix或其他操作系统上。 History: 起源: Paul Ashton于1997年首次发布,最初是一个修改过的Samba SMB客户端,接受密码哈希而不是明文密码。 发展: 随着SMB和NTLM协议的不断发展,攻击难度增加,但攻击者仍可通过其他手段如“Pass-the-Hash Toolkit”来执行攻击。 Hash Harvesting: 方法: 攻击者需要获取目标用户账户的密码哈希,方法包括从内存中读取缓存哈希、转储本地用户账户数据库(SAM)、嗅探LM和NTLM挑战-响应对话、转储通过RDP等认证的用户凭证等。 Mitigations: 防御措施: 无法单一防御,需采用纵深防御策略,如使用防火墙、入侵预防系统、802.1x认证、IPsec、防病毒软件,减少特权用户,避免使用LM或NTLM认证,限制域管理员登录域控制器,配置“最小权限”原则,限制调试特权等。 新特性: Windows引入了受限管理员模式,旨在减少攻击的有效性。 参考资料 Microsoft Pass the Hash Mitigation Guidance Amplia Security SMBShell