内网横向移动小补充 ---＞PTK

大家别急，我的基于资源的约束性委派攻击还在写，这个东西一时半会讲不清楚，所以我在这里先来补充一点横向移动以前没说好的东西！！！ 

在更啦，别催啦~~~~

还记得我之前在内网渗透里面讲过这个PTK，当时是复现失败了的，终于，我现在知道原因了！！！

那么我们再来重新认识一下他吧！！

1.PTK利用条件

ptk不是什么条件都是可以用的，想用ptk，必须满足以下的条件！！

• 在域环境中
• 域管允许AESKey认证

假如我们去工作组抓一下看看有没有key

在工作组中直接发现什么也没抓到！！！  那么我们换台机器再去试试

发现也是没有，那么我们再去域环境下看一看

看，是绝对能抓到的！！！！

2.PTK的原理

我们众所周知，PTH使用的是NTLM网络认证！！！  但是微软引进了一个补丁

KB2871997 ： 禁止本地管理员账户用于远程连接，这样就无法以本地管理员用户的权限执行wmi、 psexec、schtasks、at和访问文件共享。

这个补丁下，我们就不能PTH了！！！ （被强制走了kerberos协议）所以我们就只能走Kerberos协议！！

而我们又众所周知，Kerberos协议也是用的NTLM哈希进行的加密，但是！！！如果域馆允许Key认证的话，我们可以将NTLM加密SessionKey更换成用Key进行加密！！！！ 

这也就是为什么我们可以进行PTK的原因！！！

3.上次复现失败的原因

当时我们通过用cs进行PTK，然后弹出了一个框！！！  但是发现这个框并不能对对应的主机进行操作！！！  

这是因为！！！！ 在这个框里的执行命令走的协议不是kerberos协议！！！所以才会失败！！

所以我们就不能通过cs的那个框直接进行PTK，而是需要使用工具强制他走Kerberos协议！！！

4.使用CS进行PTK攻击！

那么不能直接在CS的框里面进行PTK，那么我们就强制让他走Kerberos协议！！

这里，假装我们先获取到了域馆的AESkey

mimikatz.exe "privilege::debug"  "sekurlsa::ekeys"  "exit"

   先说一下我们的实验环境，我们显示控下了Win7，然后通过横向控制server2008 ，server102 ，然后试一下能不能跨域拿到server2016和2012的权限！！

假设我们拿到了域馆的AES256的key

 ac739603dd4fa64b5b6eb8adbba445a1df6b88f25fcb88794fc1f2187614b385

然后我们先去要一张域馆的TGT

这里我们要用getTGT这个工具！！！ 然后执行下面的命令

shell getTGT.exe god.org/administrator@owa.god.org  -aesKey  ac739603dd4fa64b5b6eb8adbba445a1df6b88f25fcb88794fc1f2187614b385

然后就牛魔了！！！ 不允洗这种加密方式，而且是默认不允许！！！！！ 

但是为了将实验进行下去，我们还是手动配置一下

给这玩意打上勾，我们再去尝试一遍

然后劳资崩溃了。。。。。。。 

真的无语了，我只能说很玄学，原理就是这样的，操作起来也是没错的，内网

                                        真的很TMD玄学。。。。。

但是我们还是把别人成功的例子展示一遍

然后拿到这张高权限的TGT之后，我们就把他注入到内存

就应该是能拿到一张域馆的TGT！！！的票 

然后就是常见的上线操作啦，后面就不多赘述了！！  

总结：我还是那句话，操作和原理都是没问题的，但是内网很玄学，你们可以自己去操作一下，成不成功？？？ 看当时玄不玄学了  

    ：：：难崩