1、初始横向移动
横向渗透就是在已经攻击到内网里时候通过肉鸡作为跳板去获取更多的计算机权限,从而控制整个内网
纵向渗透就是在一台肉鸡里获取更高的权限,就是所谓的提权
1.1 攻击分类
-
pass the hash(hash传递攻击,简称pth)
-
pass the ticket(票据传递攻击,简称ptt)
-
pass the key(密钥传递攻击,简称ptk)
2、横向传递梳理
3、横向渗透之IPC$
3.1 IPC$介绍
IPC( Internet ProcessConnection)共享“命名管道”的资源,是为了实现进程间通信而开放的命名管道。IPC可以通过 验证用户名和密码获得相应的权限,通常在远程管理计算机和查看计算 机的共享资源时使用。 通过ipc$,可以与目标机器建立连接。利用这个连接,不仅可以访问目标机器中的文件,进行上传、下载等操作,还可以 在目标机器上运行其他命令,以获取目标机器的目录结构、用户列 表等信息。
3.2 IPC$利用条件
3.2.1 开启了139、445端口
ipcs可以实现远程登录及对默认共享资源的访问,而139端口的开启表示NetBIOS协议的应用。通过139、445( Windows2000)端口,可以实现对共享文件打印机的访问。因此,一般来讲,ipcs需要139、445端口的支持。
3.2.2 管理员开启了默认共享
默认共享是为了方便管理员进行远程管理而默认开启的,包括所有的逻辑盘(c$、d$、e$等和系统目录 winnt或 windows( adminS)通过ipc$,可以实现对这些默认共享目录的访问。
3.3 IPC$连接
#建立连接
net use \\192.168.79.147\ipc$ "密码" /user:administator
#查看连接
net user3.4 IPC$错误
3.4.1 IPC$连接失败的原因
用户名或密码错误
目标没有打开ipcs默认共享
不能成功连接目标的139、445端口
3.4.2 IPC$连接常见错误
错误号5:拒绝访问
错误号51: Windows无法找到网络路径,即网络中存在问题。
错误号53:找不到网络路径,包括IP地址错误、目标未开机、目标的 lanmanserver服务未 启动目标有防火墙(端口过 滤)
错误号67:找不到网络名,包括 lanmanworkstation服务未启动、ipcs已被删除
错误号1219:提供的凭据与已存在的凭据集冲突。例如,已经和目标建立了ipcs,需要在删除原连接后重新进行连接。 错误号1326:未知的用户名或错误的密码
错误号l792;试图登录,但是网络登录服务没有启动,包括目标NetLogon服务未启动(连 接域控制器时会出现此情况)。
错误号2242:此用户的密码已经过期°例如’目标机器设置了账号管理策略,强制用户定 期修改密码°3.5 利用IPC$横向
利用Windows自带命令,Windows Vista、windows server2008及之后版本的操作系统已将at命令废弃了,可以使用schtasks命令代替at命令.schtask命令比at命令更为灵活、自由
3.5.1 dir命令
在我们使用net use 命令与远程目标建立IPC$连接成功后,可以使用dir 命令列出远程主机中的文件
dir \\192.168.79.147\c$3.5.2 tasklist命令
在使用 net use命令与远程目标机器建立ipcs后,可以使用 tasklist命令的/S、/U /P参数列出远程主机上运行的进程
tasklist /s 192.168.79.1473.5.3 利用定时任务
net time \\IP地址 #查看系统时间
copy 文件名 \\IP地址 #复制文件
schtasks /create /s IP地址 /tn 计划任务名 /sc onstart /tr c:\文件 /ru system /f #创建计划任务
schtasks /run /s IP地址 /i /tn "计划任务名" #执行计划任务
schtasks /delete /s IP地址 /tn "计划任务名" /f #删除计划任务3.5.4 清除IPC$连接
net use \\IP /del /y4、横向渗透之PTT票据传递攻击
4.1 简述
PTT票据传递攻击主要根据Kerberos协议和Kerberos的认证机制原理来进行攻击的。
由于我们客户端想要访问服务端的时候,会首先去访问域控的KDC就是身份认证分发中心。首先访问AS拿到可以可以购买票据的身份认证TGT,然后才能去买票。我们可以通过伪造一个TGT来去买票,然后进行操作。这个攻击就叫票据攻击,伪造TGT的过程就是黄金票据。
当我们客户端访问服务端的时候,不需要TGS给我们发放ST(就是票据),我们自己伪造一个这个票据直接去访问服务的过程就叫白银票据。
就好比A需要进入公司办公处,首先需要去门卫处验证是否是这个公司的人(也就是通过AS的认证);然后通过门卫确认后,拿着门卫的凭证(也就是我们所需要TGT)去办公处里面,这时候我们如果需要去领导办公室查询资料(就是访问Sever),那么就需要通过办公处的前台去登记,让前台确认我们是否有去查询的资格,当确认我们有资格后会给予凭证(就是ST),我们就可以拿着这个凭证去领导办公室查询资料了。黄金票据:就是我们攻击者伪装成这个公司的员工,自己伪造了一个门卫的凭证(TGT),因此就不需要和门卫(AS)去登记,进入办公区(KDC)后,窃取了一个万能凭证(就是krbtgt账号),拥有这个凭证就可以自有出入领导办公室查询资料。 白银票据:就是我们的攻击者拿到了这个公司领导办公室侧门的钥匙(也就是可以利用部分的服务,比如cifs),他都不需要进入办公区(KDC)去找前台登记给予凭证(ST),而是直接伪造了一个ST,拥有了钥匙直接去打开领导办公室的侧门进入查询资料。
4.2 黄金票据
Kerberos黄金票据是有效的TGT Kerberos票据,因为它是由域Kerberos帐户(KRBTGT)加密和签名的 。TGT仅用于向域控制器上的KDC服务证明用户已被其他域控制器认证。TGT被KRBTGT密码散列加密并且可以被域中的任何KDC服务解密的。
TGT中包含有客户端的Name、IP、当前时间戳、客户端即将访问TGS的Name、TGT的有效时间、客户端与TGS通信的Session_key(GT_SK)。TGT被KRBTGT密码散列加密并且可以被域中的任何KDC服务解密的。
域名称
域的SID值
域的KRBTGT账号的HASH
伪造任意用户名
(获取域的SID和KRBTGT账号的NTLM HASH的前提是需要已经拿到了域的权限)4.3 白银票据
白银票据不与密钥分发中心 KDC 交互,因此没有了 Kerberos 认证协议里的前 4 步,通过伪造的票据授予服务 TGS 生成伪造的服务票据 ST 直接与服务器 Server 进行交互。
域名
域 SID
目标服务器的 FQDN 即完整的域名
可利用的服务
服务账户的 NTLM 哈希
伪造的用户名即任意用户名由于白银票据没有与KDC 进行交互,所以在DC上面是没有访问日志的,日志全部在目标服务器上。
5、横向渗透之PTH哈希传递攻击
5.1 简述
PTH攻击:Pass The Hash 哈希传递攻击
在一个计算机域中,为了方便管理,登录计算机时大概都是用的域账号,也就是相同的本地管理员账户密码,如果攻击者获得了其中一台机器相关的NTLM HASH 也就是密码散列值,就可以通过哈希传递的方法登录内网中其它的计算机。
NTLM HASH 与 NTLM:NTLM是一种网络认证协议,其以NTLM HASH作为根本凭证进行身份认证。在本地认证中,将用户输入的密码转换位NTLM HASH与SAM文件中的NTLM HASH进行比较。
5.2 攻击
在渗透测试中,拿到目标机器的用户明文密码或者NTLM HASH后,可以利用Windows自带的方法对远程目标系统进行命令行下的连接操作,连接远程主机并进行操作,相关入侵命令。
实战文章域渗透-哈希传递攻击(Pass The Hash/Key) - 知乎 (zhihu.com)
6、横向渗透之PTK密钥传递攻击
ptk是在域中攻击kerberos认证的一种方式,原理是通过获取用户的aes hmac,通过kerberos认证,可在NTLM认证被禁止的情况下用来实现类似pth的功能。
-
使用mimikatz "privilege::debug" "sekurlsa::ekeys"命令获取aes的hmac
-
使用mimi进行测试:sekurlsa::pth /user:xxx /domain:xxx /aes256:xxxxxxxx"
-
在弹出的cmd窗口中输入net use命令进行测试
-
wmiexec和crackmapexec同样支持该种方式攻击,可以自行尝试
6.1 防御措施
windows安装kb2871997补丁 使用Kerberos认证代替NTLM认证 开启PAC(Privileged Attribute Certificate)特权属性证书保护功能
1189
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
