68 内网安全-域横向PTHPTKPTT哈希票据传递

目录

    • 演示案例:
      • 域横向移动PTH传递-Mimikatz
      • 域横向移动PTK传递-Mimikatz
      • 域横向移动PTT传递-MS14068&kekeo&local
      • 国产Ladon内网杀器测试验收-信息收集,连接等
    • 涉及资源:

在这里插入图片描述
在这里插入图片描述
PTH(pass the hash) #利用lm或ntlm的值进行的渗透测试
PTT(pass the ticket) #利用的票据凭证TGT进行的渗透测试
PTK(pass the key) #利用的ekeys aes256进行的渗透测试

#PTH在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务而不用提供明文密码。
如果禁用了ntlm认证,PsExec无法利用获得的ntlm hash进行远程连接,但是使用mimikatz还是可以攻击成功。对于8.1/2012r2,安装补丁kb2871997的win7/2008r2/8/2012等,可以使用AES keys代替NT hash来实现ptk攻击
总结: KB2871997补丁后的影响
pth: 没打补丁用户都可以连接,打了补丁只能administrator连接
ptk: 打了补丁才能用户都可以连接,采用aes256连接
KB22871997是否真的能防御PTH攻击?:
https://www.freebuf.com/column/220740.html
打了补丁之后,PTH还是能够攻击,只是攻击被缩小了,只能连接administrator,域账户无法攻击成功,但是本地账户仍然能够攻击成功
输入systeminfo,就知道他有没有打补丁,前期的信息收集,我们需要做到心中有数
NTLM Hash和AES keys密码加密算法不一样,但都是属于密码的一种加密形式,只是不同的加密算法,也就是说可以利用这两个算法的值,来实现攻击

PTT,票据就好比我们网站的cookie,我们就可以把票据理解成cookie的一个概念,就是说你在登录过这个主机之后,它是会产生一个cookie,或者说有跟别人建立连接的这个凭据,在你这个电脑上面,这个时候你就有票据进行重新连接

PTH和PTK做为一个连接协议是一样的,然而PTT协议不一样,它是用Kerberos协议,这就是他们主要的区别

#PTT攻击的部分就不是简单的NTLM认证了,它是利用Kerberos协议进行攻击的,这里就介绍三种常见的攻击方法: MS14-068,Golden ticket,SILVER ticket,简单来说就是将连接合法的票据注入到内存中实现连接。
MS14-068基于漏洞,Golden ticket(黄金票据),SILVER ticket(白银票据)
其中Golden ticket(黄金票据),SILVER ticket(白银票据)属于权限维持技术
MS14-068造成的危害是允许域内任何一个普通用户,将自己提升至域管权限。微软给出的补丁是kb3011780

权限维持是属于我们已经拿下权限,然后进行维持

演示案例:

域横向移动PTH传递-Mimikatz

Mimikatz不仅是凭据的获取工具,还是是获取明文密码的工具,另外还可以进行相关的攻击
在这里插入图片描述

在实战情况下,最好LM、HTLM这两个数据都收集一下,避免在域环境有利用LM这个协议验证的,考虑要严谨点

PTH ntIm传递

未打补丁下的工作组及域连接:

sekurlsa::pth /user:administrator /domain:god/ntlm:ccef208c6485269c20db2cad21734fe7
sekurlsa::pth /user:administrator /domain:workgroup /ntlm:518b98ad4178a53695dc997aa02d455c

我们首先攻击域控
在这里插入图片描述
这个就是明显没有连接上,因为你没有凭据,我们去尝试webserver
在这里插入图片描述
执行成功之后,会自动弹窗
这个就好比at、schtasks,复制文件,执行文件等等,来实现一些过去的操作,这个就是典型的mimikatz上的攻击
如果连接IP地址不识别的话,可以换成计算机名
建立连接的PTH窗口,反弹连接客户端,连上去就完事了
3.21是域控的地址,而我们在攻击的时候,我没有指向IP地址,那如果在实战情况下的话,域控的地址需要我们去测试,在实战情况下相当于是一种随机的攻击,前期的IP地址是需要我们去收集的
有的用户跟我们同一个网络的话,我们可以把域改成workgroup连接本地用户,因为每台计算机上面会有几个用户,不要光对域内用户进行渗透,同样这个本地上的用户,也可以做为测试的目标,那我们在批量的时候就要改成workgroup,连接本地用户
在这里插入图片描述

域横向移动PTK传递-Mimikatz

PTK aes256传递
打补丁KB2871997后的工作组及域连接:

sekurlsa::ekeys      #获取aes
sekurlsa::pth /user:mary /domain:god.org /aes256:d7c1d9310753a2f7f240e5b2701d1e6177d16a6e40af3c5cdff814719821c4b

PTK,用aes连接的话,他必须打补丁才能有用,你不打补丁连接不上去
我们的思路就是,如果对方打了补丁的话,一种就是PTH administrator连接,采用的连接凭据就是ntlm hash,或者是LM Hash,于此同时还能用PTK连接
在这里插入图片描述
在渗透中要做加密值的批量枚举判断爆破的时候,我们就要搞清楚了
他不打补丁的话,无法用aes连接

域横向移动PTT传递-MS14068&kekeo&local

MS14-068利用的是PTT攻击,这里就涉及到三类攻击技巧,一种是用漏洞生成的,一种是用工具生成的,还有一种本地生成的
主要是漏洞这块,像这个工具和本地是属于后期没办法的时候,漏洞在失效的时候,没有这个漏洞的时候的一种攻击手法
第一种利用漏洞:
能实现普通用户直接获取域控system权限
#MS14-068 powershell执行
1.查看当前sid whoami/user
2.mimikatz # kerberos::purge
//清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造

mimikatz # kerberos::list           //查看当前机器凭证
mimikatz # kerberos::ptc 票据文件   //将票据注入到内存中

3.利用ms14-068生成TGT数据
ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码

MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -p admin!@#45

TGT数据就是票据
4.票据注入内存

mimikatz.exe "kerberos::ptc TGT_mary@god.org.ccache" exit

这个过程有点类似于web攻击里面的cookie欺骗,我拿到管理员的cookie之后,我是把cookie写到访问浏览器的信息里面,这个票据注入内存和那个操作是一样的
5.查看凭证列表 klist
6.利用

dir \\192.168.3.21\c$

票据传递原理,他其实就是生成合法的连接请求,我们在通过mimikatz导入到我内存去,所以我连接的时候就不需要输入账号密码,其实就是我已经和他建立连接了,票据就好比我们web渗透的cookie信息,也就是说在域内主机存在漏洞的话,我们就可以利用票据传递攻击
第二种利用工具kekeo
1.生成票据

kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c"

2.导入票据

kerberos::ptt TGT_mary@GOD.ORG_krbtqt~god.org@GOD.ORG.kirbi

3.查看凭证 klist
4.利用net use载入

dir \\192.168.3.21\c$

第三种利用本地票据(需管理权限)

sekurlsa::tickets /export
kerberos::ptt xxxxxxxxxx.xxxx.kirbi

伪造cookie的攻击思路,他首先利用mimikatz把本地的票据,把他给收集起来,收集起来在导入到内存里面连接
我在的计算机有连接过域控,那么他就会有一些类似的储存缓存行为文件在我的计算机上面,把以前的一些凭据文件给导出来,然后在把之前跟域控建立连接的文件,给导入到内存里面去,相当于说把以前你的cookie把他搂出来,去尝试这个cookie,他是不是还可以用,这个攻击需要本地管理员权限,因为他涉及到导出票据,所以说你的权限不够的话,这个攻击是做不了的,前面那两个就不需要权限
这种在实战情况下面,有时候这个攻击还有点用,但是大部分也没太大用,有点鸡肋,因为这个PTT有个缺点,你建立之后只有10小时的存活时间
在这里插入图片描述
如果你这台计算机曾经有人,在10个小时之内,有人用你的计算机登陆过域控,那么这个时候就有,如果超过10个小时的话,你在导出来就没什么作用了,和我们cookie的存活时间是一个意思,可能密码一修改,cookie就变了,也有这个原因,PTH的存活时间就是10小时,别人连接的10个小时内,你拿到这个东西,所以它鸡肋的地方就在这里

总结: ptt传递不需本地管理员权限,连接时主机名连接,基于漏洞,工具,本地票据

权限维持,就是在攻击之后,把这个本机的票据全部储存下来,然后修改它一些存活时间,我们以后就能用这个票据文件,其实就是把对方的cookie劫获到之后,保证cookie的存活性,后期我们就用cookie进入,开个后门的意思

国产Ladon内网杀器测试验收-信息收集,连接等

信息收集-协议扫描-漏洞探针-传递攻击等
ladon和打枪工具CS、MSF都是可以相互结合的
在这里插入图片描述
GUI版本是我们图形化版本,因为大部分在实战中,是在shell里面,我们用GUI的可能性不大,但是这个GUI可以在本地用,在本地打开
存活主机扫描
在这里插入图片描述
批量检测有没有MS17010漏洞
在这里插入图片描述
看那些端口开了可以进行SMB连接,那些IP支持SMB连接的情况
在这里插入图片描述
其实就是把我们前面说的信息收集、利用工具都打包到这个里面去了,你如果在实战中的话,只需要上传这款工具的exe版,然后在里面运行exe,就能实现横向渗透,各种协议的里面都内置了,把功能全部写进去了,而且用命令能实现信息收集、漏洞探针、漏洞利用、横向渗透

涉及资源:

https://github.com/k8gege/Ladon
https://github.com/gentilkiwi/kekeo/releases
https://github.com/abatchy17/indowsExploits/tree/master/MS14-068
https://pan.baidu.com/s/1Vh4ELTFvyBhv3Avzft1fCw提取码:xiao

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/177956.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C++ Qt 学习(二):常用控件使用与界面布局

1. Qt 布局详解 ui 设计器设计界面很方便,为什么还要手写代码? 更好的控制布局更好的设置 qss代码复用 完全不会写 Qt 布局,很麻烦,怎么学会手写布局? 看 Qt 自己怎么写改良 Qt 的布局写法 1.1 水平布局 #include …

LVGL库入门 02 - 布局

1、简单布局 可以使用 lv_obj_set_pos(obj, x, y) 调整一个控件的位置(或者使用类似的函数单独调整一个方向的坐标),将它放在相对父容器左上角的合适位置。不过这种布局方式非常死板,因为绝对坐标一旦设定就不能自动调整&#xf…

fastapi-参数

路径参数 你可以使用与 Python 格式化字符串相同的语法来声明路径"参数"或"变量": from fastapi import FastAPIapp FastAPI()app.get("/items/{item_id}") async def item_details(item_id: int):return {"item_id": i…

竖版视频怎么做二维码?扫码播放竖版视频的方法

当我们在将视频转二维码图片展示的时候,一般横版视频在手机展示不会有影响,但是竖版视频会默认用横版的方式播放就会导致无法清晰的看到画面的内容,那么如何将竖版视频生成二维码是很多小伙伴头疼的一个问题。那么下面教大家使用二维码生成器…

Android 如何在Android studio中快速创建raw和assets文件夹

一 方案 1. 创建raw文件夹 切成project浏览模式——>找到res文件粘贴要放入raw文件夹下的文件。 当然此时raw文件还没有,直接在右侧输入框中出现的路径~\res后面加上\raw即可。 2. 创建assets文件夹 同理在main文件夹下粘贴要放入assets文件夹的文件&#xff0…

Java精品项目62基于Springboot+Vue实现的大学生在线答疑平台(编号V62)

Java精品项目62基于SpringbootVue实现的大学生在线答疑平台(编号V62) 大家好,小辰今天给大家介绍一个基于SpringbootVue实现的大学生在线答疑平台(编号V62),演示视频公众号(小辰哥的Java)对号查询观看即可 文章目录 Java精品项目…

云尘-Node1 js代码

继续做题 拿到就是基本扫一下 nmap -sP 172.25.0.0/24 nmap -sV -sS -p- -v 172.25.0.13 然后顺便fscan扫一下咯 nmap: fscan: 还以为直接getshell了 老演员了 其实只是302跳转 所以我们无视 只有一个站 直接看就行了 扫出来了两个目录 但是没办法 都是要跳转 说明还是需要…

tomcat必要的配置

tomcat要配置两个,不然访问不了localhost:8080 名:CATALINA_HOME 值:D:\software\computer_software\Tomcat\tomcat8.5.66

taro全局配置页面路由和tabBar页面跳转

有能力可以看官方文档:Taro 文档 页面路由配置,配置在app.config.ts里面的pages里: window用于设置小程序的状态栏、导航条、标题、窗口背景色,其配置项如下: tabBar配置:如果小程序是一个多 tab 应用&…

你一般会什么时候使用CHATGPT?

在当今数字时代,人们对于人工智能(AI)的依赖程度日益增加,而ChatGPT作为一种强大的自然语言处理工具,吸引了人们的广泛关注和应用。那么,人一般在什么时候会想要使用ChatGPT呢?这个问题涵盖了多…

【原创】java+swing+mysql志愿者管理系统设计与实现

摘要: 志愿者管理系统是一个用于管理志愿者以及活动报名的系统,提高志愿者管理的效率,同时为志愿者提供更好的服务和体验。本文主要介绍如何使用javaswingmysql去实现一个志愿者管理系统。 功能分析: 系统主要提供给管理员和志…

什么是块存储、文件存储、对象存储?

我们都知道,存储设备就是为数据提供空间。 U盘、硬盘和固态硬盘都是存储最终的存储设备。而块存储、文件存储和对象存储也可以简单地理解是不同类型的存储设备,它们是根据使用介质存储数据的手段或方法不同来划分的。 首先我们来看下块存储:…

160. 相交链表、Leetcode的Python实现

博客主页:🏆看看是李XX还是李歘歘 🏆 🌺每天分享一些包括但不限于计算机基础、算法等相关的知识点🌺 💗点关注不迷路,总有一些📖知识点📖是你想要的💗 ⛽️今…

Unity Perception合成数据生成、标注与ML模型训练

在线工具推荐: Three.js AI纹理开发包 - YOLO合成数据生成器 - GLTF/GLB在线编辑 - 3D模型格式在线转换 - 3D场景编辑器 任何训练过机器学习模型的人都会告诉你,模型是从数据得到的,一般来说,更多的数据和标签会带来更好的性能。 …

垃圾分类箱通过工业4G路由器实现无人值守远程管理

据今年发布的相关数据统计,人们日常生活中每人每天至少能制造1.2kg垃圾,在环保事业中日常垃圾处理已经成为一项紧迫且不可忽视的任务。为了实现城市清洁和环境保护,越来越多的地区开始引入垃圾分类箱。传统的垃圾分类箱管理方式存在着一些不便…

【APP】go-musicfox - 一款网易云音乐命令行客户端, 文件很小Mac版本只有16.5M

go-musicfox 是用 Go 写的又一款网易云音乐命令行客户端,支持各种音质级别、UnblockNeteaseMusic、Last.fm、MPRIS 和 macOS 交互响应(睡眠暂停、蓝牙耳机连接断开响应和菜单栏控制等)等功能特性。 预览 启动 启动界面 主界面 主界面 通…

网络工程师-入门基础课:华为HCIA认证课程介绍

【微/信/公/众/号:厦门微思网络】 华为HCIA试听课程:超级实用,华为VRP系统文件详解 华为HCIA试听课程:不会传输层协议,HCIA都考不过 华为HCIA试听课程:网络工程师的基本功:网络地址转换NAT 一…

16. 机器学习 - 决策树

Hi,你好。我是茶桁。 在上一节课讲SVM之后,再给大家将一个新的分类模型「决策树」。我们直接开始正题。 决策树 我们从一个例子开始,来看下面这张图: 假设我们的x1 ~ x4是特征,y是最终的决定,打比方说是…

linux下mysql-8.2.0集群部署(python版本要在2.7以上)

目录 一、三台主机准备工作 1、mysql官方下载地址:https://dev.mysql.com/downloads/ 2、修改/etc/hosts 3、关闭防火墙 二、三台主机安装mysql-8.2.0 1、解压 2、下载相应配置 3、初始化mysql,启动myslq,设置开机自启 4、查看初始密…

华为云资源搭建过程

网络搭建 EIP: 弹性EIP,支持IPv4和IPv6。 弹性公网IP(Elastic IP)提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑…