内网横向移动小补充 --->PTK

大家别急,我的基于资源的约束性委派攻击还在写,这个东西一时半会讲不清楚,所以我在这里先来补充一点横向移动以前没说好的东西!!! 

在更啦,别催啦~~~~

还记得我之前在内网渗透里面讲过这个PTK,当时是复现失败了的,终于,我现在知道原因了!!!

那么我们再来重新认识一下他吧!!

1.PTK利用条件

ptk不是什么条件都是可以用的,想用ptk,必须满足以下的条件!!

  • 在域环境中
  • 域管允许AESKey认证

假如我们去工作组抓一下看看有没有key

在工作组中直接发现什么也没抓到!!!  那么我们换台机器再去试试

发现也是没有,那么我们再去域环境下看一看

看,是绝对能抓到的!!!!

2.PTK的原理

我们众所周知,PTH使用的是NTLM网络认证!!!  但是微软引进了一个补丁

KB2871997 : 禁止本地管理员账户用于远程连接,这样就无法以本地管理员用户的权限执行wmi、 psexec、schtasks、at和访问文件共享。

这个补丁下,我们就不能PTH了!!! (被强制走了kerberos协议)所以我们就只能走Kerberos协议!!

而我们又众所周知,Kerberos协议也是用的NTLM哈希进行的加密,但是!!!如果域馆允许Key认证的话,我们可以将NTLM加密SessionKey更换成用Key进行加密!!!! 

这也就是为什么我们可以进行PTK的原因!!!

3.上次复现失败的原因

当时我们通过用cs进行PTK,然后弹出了一个框!!!  但是发现这个框并不能对对应的主机进行操作!!!  

这是因为!!!! 在这个框里的执行命令走的协议不是kerberos协议!!!所以才会失败!!

所以我们就不能通过cs的那个框直接进行PTK,而是需要使用工具强制他走Kerberos协议!!!

4.使用CS进行PTK攻击!

那么不能直接在CS的框里面进行PTK,那么我们就强制让他走Kerberos协议!!

这里,假装我们先获取到了域馆的AESkey

mimikatz.exe "privilege::debug"  "sekurlsa::ekeys"  "exit"

   先说一下我们的实验环境,我们显示控下了Win7,然后通过横向控制server2008 ,server102 ,然后试一下能不能跨域拿到server2016和2012的权限!!

假设我们拿到了域馆的AES256的key

 ac739603dd4fa64b5b6eb8adbba445a1df6b88f25fcb88794fc1f2187614b385

然后我们先去要一张域馆的TGT

这里我们要用getTGT这个工具!!! 然后执行下面的命令

shell getTGT.exe god.org/administrator@owa.god.org  -aesKey  ac739603dd4fa64b5b6eb8adbba445a1df6b88f25fcb88794fc1f2187614b385

然后就牛魔了!!! 不允洗这种加密方式,而且是默认不允许!!!!! 

但是为了将实验进行下去,我们还是手动配置一下

给这玩意打上勾,我们再去尝试一遍

然后劳资崩溃了。。。。。。。 

真的无语了,我只能说很玄学,原理就是这样的,操作起来也是没错的,内网

                                        真的很TMD玄学。。。。。

但是我们还是把别人成功的例子展示一遍

然后拿到这张高权限的TGT之后,我们就把他注入到内存

就应该是能拿到一张域馆的TGT!!!的票 

然后就是常见的上线操作啦,后面就不多赘述了!!  

总结:我还是那句话,操作和原理都是没问题的,但是内网很玄学,你们可以自己去操作一下,成不成功??? 看当时玄不玄学了  

    :::难崩

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/17150.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

亚马逊云主管马特·加尔曼面临压力,致力于在人工智能领域赶超竞争对手

每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗?订阅我们的简报,深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同,从行业内部的深度分析和实用指南中受益。不要错过这个机会,成为AI领…

mysql中连接查询的成本

大家好。上篇文章我们讲了mysql中成本的含义以及单表查询如何计算成本。现在我们接着讲讲mysql中连接查询的成本。 在讲之前,我们先创建两张一样的表single_table和single_table2,并在表中插入10000条数据。在下面的讲解中,我们称single_tab…

java并发工具类都有哪些

Java中的并发工具类包括: CountDownLatch CountDownLatch允许一个或多个线程等待其他线程完成某些操作。它通常用于线程间的同步,例如在一个线程完成其工作后通知其他线程继续执行。 CyclicBarrier CyclicBarrier是一个同步辅助类,它允许一…

【面试必看】Java并发

并发 1. 线程 1. 线程vs进程 进程是程序的一次执行过程,是系统运行程序的基本单位,因此进程是动态的。 系统运行一个程序即是一个进程从创建,运行到消亡的过程。在 Java 中,当我们启动 main 函数时其实就是启动了一个 JVM 的进…

ChaosMeta V0.7.0 版本发布 进入CNCF混沌工程全景图

混沌工程 ChaosMeta 的全新版本 V0.7.0 现已正式发布!该版本包含了许多新特性和增强功能,在编排界面提供了多集群管理,在代码层面支持多命令下发通道的选择。另外由蚂蚁集团发起的ChaosMeta于北京时间2024年1月10日正式进入CNCF混沌工程全景图…

07_Servlet

Servlet 一 Servlet简介 1.1 动态资源和静态资源 静态资源 无需在程序运行时通过代码运行生成的资源,在程序运行之前就写好的资源. 例如:html css js img ,音频文件和视频文件 动态资源 需要在程序运行时通过代码运行生成的资源,在程序运行之前无法确定的数据,运行时动态生成…

转行一年了

关注、星标公众号,直达精彩内容 ID:技术让梦想更伟大 整理:李肖遥 来公司一年了。 说是转行其实还是在半导体行业,熟悉我的朋友知道 ,我在18年开始进入半导体行业,那个时候想着行业很重要,站对了…

气泡水位计的安装方法详解(二)

气泡水位计的安装方法详解(二) 产品简介 气泡式水位计ZL-BWL-013是一款适用于水文、水利信息化建设领域的新一代水位测量类设备,产品执行GB/T 11828.2-2022标准。ZL-BWL-013气泡水位计,具有安装方便、易于操作,高精度…

算法刷题day54:搜索(一)

目录 引言一、池塘计数二、城堡问题三、山峰和山谷四、迷宫问题五、武士风度的牛六、抓住那头牛七、矩阵距离八、魔板 引言 针对于蓝桥杯,搜索问题还是非常之重要的,在省赛前深知暴搜的重要性,所以提前先把提高课的搜索一章给看了&#xff0…

分布式锁的原理和实现(Go)

文章目录 为什么需要分布式锁?go语言分布式锁的实现Redis自己的实现红锁是什么别人的带红锁的实现 etcdzk的实现 为什么需要分布式锁? 保证分布式系统并发请求或不同服务实例操作共享资源的安全性,通过一种协调机制来保证在同一时刻只有一个…

设计模式17——模板方法模式

写文章的初心主要是用来帮助自己快速的回忆这个模式该怎么用,主要是下面的UML图可以起到大作用,在你学习过一遍以后可能会遗忘,忘记了不要紧,只要看一眼UML图就能想起来了。同时也请大家多多指教。 模板方法模式(Temp…

阿里云Linux 3.2104 LTS 64位安装SVN服务器

直接按步骤 yum install subversion 写y就行 主要是看看安装了那些文件 rpm -ql subversion 主要是为了创建版本库而准备,这个能一遍创建就一遍创建,不行就逐个创建。能创就忽略下面两个mkdir步骤。 mkdir /home/svn/groupRepos 根据新建目录作为版本…

LeetCode第131场双周赛C++题解

3158.求出出现两次数字的XOR值 给你一个数组 nums ,数组中的数字 要么 出现一次,要么 出现两次。 请你返回数组中所有出现两次数字的按位 XOR 值,如果没有数字出现过两次,返回 0 。 示例 1: 输入:nums …

业务实战————Uibot6.0 .1多页面商品信息抓取RPA机器人

前言 【案例描述】 鲜果记水果店计划在淘宝电商平台上开设一家新店,小微是该企业运营部分的运营专员,主要负责公司商品上架和管理的工作。 公司计划在开店的新品促销活动中增加水果品类红富士苹果。小微需在商品上架前了解目前平台中销量前列的红富士苹…

数字水印 | 离散余弦变换 DCT 基本原理及 Python 代码实现

目录 1 基本原理2 代码实现3 图像压缩 1 基本原理 参考博客:https://www.cnblogs.com/zxporz/p/16072580.html D C T \mathsf{DCT} DCT 全称为 D i s c r e t e C o s i n e T r a n s f o r m \mathsf{Discrete\ Cosine\ Transform} Discrete Cosine Transfo…

新购入的读码器该如何测试呢?

物联网技术的飞速发展,条码二维码作为一种高效、便捷的数据传输方式,已经广泛应用于仓储、物流配送、零售与结算、MES系统等生活和工业领域。新购的条码二维码读码器,在使用前要了解它的使用方法和性能,以确保其性能稳定、读取准确…

小预算大效果:揭秘品牌如何用创新方法实现低成本传播

说到品牌,我们都知道,没钱是真的难搞。 品牌建设就像跑马拉松,得慢慢来,持续投入,一点一滴积累声誉,这样才能培养出忠实的粉丝团。 但别急,就算资金紧张,我们也有办法让品牌慢慢站…

基于飞书机器人跨账号消息提醒

事情的起因是飞书中不同的账号不能同时登录,虽然可以在飞书的账号切换页面看到其他账号下是否有消息提醒(小红点),但是无法实现提醒功能,很不优雅,因此本文尝试提出一种新的方式实现不同账号之间的提醒功能…

自定义CSS属性(@property)解决自定义CSS变量无法实现过渡效果的问题

且看下面的代码&#xff1a; <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8" /><meta name"viewport" content"widthdevice-width, initial-scale1.0" /><title>demot</title&g…

内存泄漏案例分享2-Fragment的内存泄漏

案例2——hprof文件显示出Fragment内存泄漏 接下来我们来看fragment内存泄漏&#xff0c;老规矩查看fields和references&#xff0c;确保它符合内存泄漏的情形&#xff1b;我们点击jump to source查看泄漏的位置 Fragment#MZBannerView#内部类Runnbale /*** Banner 切换时间间…