手把手教你如何进行内网渗透《下篇》

免责声明

月落星沉研究室的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他违法行为！！！

上次我们讲到了我们内网渗透需要了解的重要协议（参考公众号内上一篇文章）打起精神，我们接着来讲最后两种方法利用思路不变，变的仅是命令。

psexec是微软官方pstools中的工具，所以不需要考虑免杀。其中上图中说到，psexec第二种方法和smbexec无需建立IPC连接，我认为是不合理的。这几种方法只是命令不同罢了，提供明文账户密码的时候也是要建立IPC连接的，因为这个利用就是基于IPC的共享。

另外需要注意的就是，官方是不支持hash连接的，如果想要使用hash连接（仅能得到hash），可以使用impacket工具包，但是要做好免杀。
其实这个跟前面介绍的几种方法没啥区别，都是基于IPC$共享，都需要139/445端口的开启，初此之外，还离不开135端口，因为135端口时用于支持远程IPC建立的。IPC$共享的目的是为了便于管理员进行远程操作和管理，但是我们可以利用验证时的回显进行密码爆破。

PTH：pass the hash（LM、NTLM）

PTK：pass the key（AES 256）

PTT：pass the ticket

Windows2012及以上版本默认关闭wdigest，攻击者无法从内存中获取明文密码。Windows2012以下版本如安装KB2871997补丁，同样也会导致无法获取明文密码。

针对以上情况，我们提供了如下解决方案：

1.利用hash传递（pth、ptk等）进行移动

2.利用注册表操作开启 Wdigest Auth 值进行获取

3.利用工具或第三方平台（Hashcat）进行破解获取

Windows认证采用LM Hash及NTLM Hash加密算法，个人系统在Windows vista后，服务器系统在Windows 2003以后，认证方式均为NTLM Hash。

如果仅得到了Hash，既可以尝试在本机破解，也可以使用前面介绍的impacket。impacket中的工具能传递hash并能直接执行系统命令，优点：自带提权，命令简洁，功能强大。缺点：非官方工具，容易被杀。

PTH、PTK均可以使用mimikatz进行获取和攻击，这里不再赘述，mimikatz相关使用自行百度。

hash破解工具hashcat下载：https://github.com/hashcat/hashcat

需要注意的是，只有打了补丁（KB2871997）才能使用ptk。

PTT攻击的部分就不是简单的NTLM认证了，它是利用Kerberos协议进行攻击的。

Kerberos 协议具体工作方法，在域中，简要介绍一下：

1.客户机将明文密码进行 NTLM 哈希,然后和时间戳一起加密(使用
krbtgt 密码 hash 作为密钥)，发送给 kdc（域控），kdc 对用户进行检
测，成功之后创建 TGT(Ticket-Granting Ticket)

2.将 TGT 进行加密签名返回给客户机器，只有域用户 krbtgt 才能读
取 kerberos 中 TGT 数据

3.然后客户机将 TGT 发送给域控制器 KDC 请求 TGS（票证授权服
务）票证，并且对 TGT 进行检测

4.检测成功之后，将目标服务账户的 NTLM 以及 TGT 进行加密，将
加密后的结果返回给客户机。

说白了，票据就跟cookie一样，我们需要获取新鲜的cookie（未过期，主机登录后十小时左右过期），然后注入内存当中，通过伪装混过认证。

这个可以通过漏洞poc或工具进行利用，MS14-068下载：

https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068工具kekeo下载：https://github.com/gentilkiwi/kekeo/releases

手头没有几个0day也想混网安圈？苦苦寻找没有合适的技战法？护网值守时摸鱼无聊?

 添加作者微信拉大家进群：linjialelovejesus

本文由月落星沉团队编写，欢迎各位网安工程师加入月落安全研究实验室，一起学习交流讨论！群聊已满的添加Vx：linjialelovejesus，备注进群。（已加入一二三四五六群的无需重复加群）

原文始发于微信公众号（月落安全）：手把手教你如何进行内网渗透《下篇》