黑客攻击中最常见的“用户凭证”,到底是什么?
发布网友
发布时间:5小时前
共1个回答
热心网友
时间:5小时前
网络安全领域,用户凭证泄露是黑客攻击中的常见手段。这包括本地用户凭证和域用户凭证的获取。本地用户凭证获取主要通过两种方式:一种是利用SAM文件破解,另一种是获取lsass内存。其中,procdump工具能够读取内存,生成文件后使用mimikatz进行破解;另一种方法是创建转储文件,通过任务管理器实现。域用户凭证获取则包括ntdsutil域快照、DiskShadow、vssadmin等方法。DiskShadow和vssadmin需要特别注意编码格式和执行路径。Mimikatz的dcsync功能和secretsdump工具也适用于远程盗取ntds内容,并支持hash传递攻击。ntds文件的解密则可以通过多个软件实现,NtdsAudit是推荐的高效工具。NTLM协议攻击则包括hash传递和中间人攻击,其中hash传递可以利用NTLM认证过程中的hash计算特性,而中间人攻击则通过中间人操作伪造认证过程,实现攻击目标。针对NTLM协议的漏洞,微软发布了补丁以阻止hash传递,并对认证流程进行优化。同时,不同的工具如mimikatz、impacket等被用于hash传递攻击。中间人攻击则涉及到ntlm relay,包括跨协议的relay和反射relay。反射relay是一种特定的攻击方法,适用于特定场景,如利用CVE-2018-8581等漏洞实现权限提升。NTLM请求的发起关键在于如何成为中间人,常见方法包括XSS和利用Outlook发送邮件。
