内网横向移动小补充 --->PTK

大家别急,我的基于资源的约束性委派攻击还在写,这个东西一时半会讲不清楚,所以我在这里先来补充一点横向移动以前没说好的东西!!! 

在更啦,别催啦~~~~

还记得我之前在内网渗透里面讲过这个PTK,当时是复现失败了的,终于,我现在知道原因了!!!

那么我们再来重新认识一下他吧!!

1.PTK利用条件

ptk不是什么条件都是可以用的,想用ptk,必须满足以下的条件!!

  • 在域环境中
  • 域管允许AESKey认证

假如我们去工作组抓一下看看有没有key

在工作组中直接发现什么也没抓到!!!  那么我们换台机器再去试试

发现也是没有,那么我们再去域环境下看一看

看,是绝对能抓到的!!!!

2.PTK的原理

我们众所周知,PTH使用的是NTLM网络认证!!!  但是微软引进了一个补丁

KB2871997 : 禁止本地管理员账户用于远程连接,这样就无法以本地管理员用户的权限执行wmi、 psexec、schtasks、at和访问文件共享。

这个补丁下,我们就不能PTH了!!! (被强制走了kerberos协议)所以我们就只能走Kerberos协议!!

而我们又众所周知,Kerberos协议也是用的NTLM哈希进行的加密,但是!!!如果域馆允许Key认证的话,我们可以将NTLM加密SessionKey更换成用Key进行加密!!!! 

这也就是为什么我们可以进行PTK的原因!!!

3.上次复现失败的原因

当时我们通过用cs进行PTK,然后弹出了一个框!!!  但是发现这个框并不能对对应的主机进行操作!!!  

这是因为!!!! 在这个框里的执行命令走的协议不是kerberos协议!!!所以才会失败!!

所以我们就不能通过cs的那个框直接进行PTK,而是需要使用工具强制他走Kerberos协议!!!

4.使用CS进行PTK攻击!

那么不能直接在CS的框里面进行PTK,那么我们就强制让他走Kerberos协议!!

这里,假装我们先获取到了域馆的AESkey

mimikatz.exe "privilege::debug"  "sekurlsa::ekeys"  "exit"

   先说一下我们的实验环境,我们显示控下了Win7,然后通过横向控制server2008 ,server102 ,然后试一下能不能跨域拿到server2016和2012的权限!!

假设我们拿到了域馆的AES256的key

 ac739603dd4fa64b5b6eb8adbba445a1df6b88f25fcb88794fc1f2187614b385

然后我们先去要一张域馆的TGT

这里我们要用getTGT这个工具!!! 然后执行下面的命令

shell getTGT.exe god.org/administrator@owa.god.org  -aesKey  ac739603dd4fa64b5b6eb8adbba445a1df6b88f25fcb88794fc1f2187614b385

然后就牛魔了!!! 不允洗这种加密方式,而且是默认不允许!!!!! 

但是为了将实验进行下去,我们还是手动配置一下

给这玩意打上勾,我们再去尝试一遍

然后劳资崩溃了。。。。。。。 

真的无语了,我只能说很玄学,原理就是这样的,操作起来也是没错的,内网

                                        真的很TMD玄学。。。。。

但是我们还是把别人成功的例子展示一遍

然后拿到这张高权限的TGT之后,我们就把他注入到内存

就应该是能拿到一张域馆的TGT!!!的票 

然后就是常见的上线操作啦,后面就不多赘述了!!  

总结:我还是那句话,操作和原理都是没问题的,但是内网很玄学,你们可以自己去操作一下,成不成功??? 看当时玄不玄学了  

    :::难崩

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/17150.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

亚马逊云主管马特·加尔曼面临压力,致力于在人工智能领域赶超竞争对手

每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗?订阅我们的简报,深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同,从行业内部的深度分析和实用指南中受益。不要错过这个机会,成为AI领…

mysql中连接查询的成本

大家好。上篇文章我们讲了mysql中成本的含义以及单表查询如何计算成本。现在我们接着讲讲mysql中连接查询的成本。 在讲之前,我们先创建两张一样的表single_table和single_table2,并在表中插入10000条数据。在下面的讲解中,我们称single_tab…

java并发工具类都有哪些

Java中的并发工具类包括: CountDownLatch CountDownLatch允许一个或多个线程等待其他线程完成某些操作。它通常用于线程间的同步,例如在一个线程完成其工作后通知其他线程继续执行。 CyclicBarrier CyclicBarrier是一个同步辅助类,它允许一…

使用@Transactional 注解下,事务失效的场景

前言 Transactional是一种基于注解管理事务的方式,spring通过动态代理的方式为目标方法实现事务管理的增强。 Transactional使用起来方便,但也需要注意引起Transactional失效的场景,本文总结了七种情况,下面进行逐一分析。 一、…

【面试必看】Java并发

并发 1. 线程 1. 线程vs进程 进程是程序的一次执行过程,是系统运行程序的基本单位,因此进程是动态的。 系统运行一个程序即是一个进程从创建,运行到消亡的过程。在 Java 中,当我们启动 main 函数时其实就是启动了一个 JVM 的进…

ChaosMeta V0.7.0 版本发布 进入CNCF混沌工程全景图

混沌工程 ChaosMeta 的全新版本 V0.7.0 现已正式发布!该版本包含了许多新特性和增强功能,在编排界面提供了多集群管理,在代码层面支持多命令下发通道的选择。另外由蚂蚁集团发起的ChaosMeta于北京时间2024年1月10日正式进入CNCF混沌工程全景图…

20232906 2023-2024-2 《网络与系统攻防技术》第十一次作业

20232906 2023-2024-2 《网络与系统攻防技术》第十一次作业 1.实验内容 一、web浏览器渗透攻击 任务:使用攻击机和Windows靶机进行浏览器渗透攻击实验,体验网页木马构造及实施浏览器攻击的实际过程。 二、取证分析实践—网页木马攻击场景分析 ①首先你…

07_Servlet

Servlet 一 Servlet简介 1.1 动态资源和静态资源 静态资源 无需在程序运行时通过代码运行生成的资源,在程序运行之前就写好的资源. 例如:html css js img ,音频文件和视频文件 动态资源 需要在程序运行时通过代码运行生成的资源,在程序运行之前无法确定的数据,运行时动态生成…

转行一年了

关注、星标公众号,直达精彩内容 ID:技术让梦想更伟大 整理:李肖遥 来公司一年了。 说是转行其实还是在半导体行业,熟悉我的朋友知道 ,我在18年开始进入半导体行业,那个时候想着行业很重要,站对了…

【前端三剑客之JS】详解JS

1. JS的引入方式 (1). 内部脚本方式引入 在页面上,通过一对script标签引入js代码.script代码放置位置有一定随意性,一般放在head标签中. (2).外部脚本方式引入. 内部脚本只能在当前页面中使用,代码复用度不高.可以将脚本放在单独的js文件…

HG/T 6088-2022 透水道路用涂料检测

透水混凝土是指由水泥、矿物掺合料、骨料、外加剂及水等主要材料经拌合形成的,具有透水功能的混凝土材料,用于其表面的涂料称为透水道路用涂料。 HG/T 6088-2022透水道路用涂料检测项目: 测试指标 测试方法 有害物质限量 GB 38468 在容器…

io.net 是什么,DePIN(去中心化物理基础设施网络)

目录 io.net 是什么 io.net去中心化原理 DePIN(去中心化物理基础设施网络)

气泡水位计的安装方法详解(二)

气泡水位计的安装方法详解(二) 产品简介 气泡式水位计ZL-BWL-013是一款适用于水文、水利信息化建设领域的新一代水位测量类设备,产品执行GB/T 11828.2-2022标准。ZL-BWL-013气泡水位计,具有安装方便、易于操作,高精度…

算法刷题day54:搜索(一)

目录 引言一、池塘计数二、城堡问题三、山峰和山谷四、迷宫问题五、武士风度的牛六、抓住那头牛七、矩阵距离八、魔板 引言 针对于蓝桥杯,搜索问题还是非常之重要的,在省赛前深知暴搜的重要性,所以提前先把提高课的搜索一章给看了&#xff0…

odoo10 编写图片上传接口(获取外部访问链接)

首先你需要一个模型 class Vehicle(models.Model):_name vehicleimage fields.Binary(string"图片", attachmentTrue)编写图片访问接口 http.route(/vehicle/image/<int:vehicle_id>, typehttp, authpublic)def vehicle_image(self, vehicle_id, **kwargs)…

分布式锁的原理和实现(Go)

文章目录 为什么需要分布式锁&#xff1f;go语言分布式锁的实现Redis自己的实现红锁是什么别人的带红锁的实现 etcdzk的实现 为什么需要分布式锁&#xff1f; 保证分布式系统并发请求或不同服务实例操作共享资源的安全性&#xff0c;通过一种协调机制来保证在同一时刻只有一个…

设计模式17——模板方法模式

写文章的初心主要是用来帮助自己快速的回忆这个模式该怎么用&#xff0c;主要是下面的UML图可以起到大作用&#xff0c;在你学习过一遍以后可能会遗忘&#xff0c;忘记了不要紧&#xff0c;只要看一眼UML图就能想起来了。同时也请大家多多指教。 模板方法模式&#xff08;Temp…

阿里云Linux 3.2104 LTS 64位安装SVN服务器

直接按步骤 yum install subversion 写y就行 主要是看看安装了那些文件 rpm -ql subversion 主要是为了创建版本库而准备&#xff0c;这个能一遍创建就一遍创建&#xff0c;不行就逐个创建。能创就忽略下面两个mkdir步骤。 mkdir /home/svn/groupRepos 根据新建目录作为版本…

LeetCode第131场双周赛C++题解

3158.求出出现两次数字的XOR值 给你一个数组 nums &#xff0c;数组中的数字 要么 出现一次&#xff0c;要么 出现两次。 请你返回数组中所有出现两次数字的按位 XOR 值&#xff0c;如果没有数字出现过两次&#xff0c;返回 0 。 示例 1&#xff1a; 输入&#xff1a;nums …

程序中的网络地址等敏感信息,从网络安全的角度,应该怎么配置

从网络安全的角度来看&#xff0c;配置IP信息需要谨慎处理&#xff0c;以防止敏感信息泄露和系统受到攻击。以下是一些建议和最佳实践&#xff1a; 1. 使用环境变量或配置管理工具 环境变量 将IP地址等敏感信息存储在环境变量中&#xff0c;而不是硬编码在代码里。这有助于确…