前言

PTH攻击在内网横向中利用广泛，今天给大家从NTLM原理，到PTH在内网横向中的利用，进一步的认识PTH攻击手法。认识PTH之前，先来了解一下与PTH攻击相关的NTLM认证原理。

NTLM认证流程 PTH多方式利用 批量PTH PTH3389 PTK 总结

NTLM认证原理（参考与csdn）NTLM 在域环境中的认证程：Challenge/Response 验证机制质询（Chalenge）/响应（Response）认证机制的核心

认证步骤:

第一阶段：

用户通过输入Windows帐号和密码登录客户端主机。在登录之前，客户端会缓存输入密码的哈希值，原始密码会被丢弃，成功登录客户端Windows的用户如果试图访问服务器资源，需要向对方发送一个请求。该请求中包含一个以明文表示的用户名

第二阶段:

服务器接收到请求后，生成一个16位的随机数。这个随机数被称为Challenge(挑战，质询）。服务器在将该Challenge发送给客户端之前，该Challenge会先被保存起来。Challenge是以明文的形式发送的。

第三阶段：

客户端在接收到服务器发回的Challenge后，用在步骤一中保存的密码哈希值对其加密，这个密码哈希值就是NTLM-hash然后再将加密后的Challenge发送给服务器。并与用户名、Challenge 等一起组合得到 Net-NTLMHash，最后将 Net NTLM-Hash 封装到TYPE 3 ，发往服务端，这个步骤称为应答 （Response）。

第四阶段：

服务器接收到客户端发送回来的加密后的Challenge后，会向DC（Domain）发送针对客户端的验证请求。该请求主要包含以下三方面的内容：客户端用户名；客户端密码哈希值加密的Challenge和原始的Challenge。

最后：

DC根据用户名获取该帐号的密码哈希值，对原始的Challenge进行加密。如果加密后的Challenge和服务器发送的一致，则意味着用户拥有正确的密码，验证通过，否则验证失败。DC将验证结果发给服务器，并最终反馈给客户端。

认识一下PTH：

哈希传递（Pass The Hash）攻击简称 PTH，该方法通过找到与账户相关的密码散列值（NTLM Hash）来进行攻击。由于在 Windows 系统 NTLM 认证的 TYPE 3 消息计算 Response 的时候，客户端是使用用户的 NTLM Hash 进行计算的，而不是用户密码进行计算的

这里就是PTH攻击的利用步骤，他不是个漏洞，他是在ntlm认证第三阶段时候，正常的认证流程，ntlm认证在第三阶段不是用明文密码加密challenge的，是用NTLM-hashPTH攻击适用于：