本文详细介绍了Kerberos协议的工作流程,包括用户验证、TGT和TGS的获取。同时,探讨了PTH、PTK和PTT这三种渗透测试技术,解释了它们的原理和应用场景。PTH利用NTLM哈希进行渗透,PTK利用AES256密钥,而PTT则是通过票据凭证进行攻击。文中还提到了MS14-068漏洞、GoldenTicket和SilverTicket等概念,并给出了利用工具如Mimikatz和Kekeo的使用示例。此外,讨论了国产Ladon内网渗透扫描器的测试验收和用法。
思维导图
知识点
Kerberos 协议
具体工作方法,在域中,简要介绍一下:
- 客户机将明文密码进行 NTLM 哈希,然后和时间戳一起加密(使用krbtgt 密码 hash 作为密钥),发送给 kdc(域控),kdc 对用户进行检测,成功之后创建 TGT(Ticket-Granting Ticket)
- 将 TGT 进行加密签名返回给客户机器,只有域用户 krbtgt 才能读
取 kerberos 中 TGT 数据 - 然后客户机将 TGT 发送给域控制器 KDC 请求 TGS(票证授权服务)票证,并且对 TGT 进行检测。
- 检测成功之后,将目标服务账户的 NTLM 以及 TGT 进行加密,将
加密后的结果返回给客户机。
PTH
PTH(pass the hash) 利用 lm 或 ntlm 的值进行的渗透测试。
PTH 在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。
如果禁用了 ntlm 认证,PsExec 无法利用获得的 ntlm hash 进行远程连接,但是使用 mimikatz 还是可以攻击成功。
对于 8.1/2012r2,安装补丁 kb2871997 的 Win 7/2008r2/8/2012 等,可以使用 AES keys 代替 NT hash 来实现 ptk 攻击。
总结:KB2871997 补丁后的影响
pth:没打补丁用户都可以连接,打了补丁只能 administrator 连接
ptk:打了补丁才能用户都可以连接,采用 aes256 连接
https://www.freebuf.com/column/220740.html
PTK
PTK(pass the key) 利用的 ekeys aes256 进行的渗透测试
PTT
PTT(pass the ticket) 利用票据凭证 TGT 进行的渗透测试。
PTT 攻击的部分就不是简单的 NTLM 认证了,它是利用 Kerberos 协议进行攻击的,这里就介绍三种常见的攻击方法:
- MS14-068
- Golden ticket
- SILVER ticket
简单来说就是将连接合法的票据注入到内存中实现连接。
MS14-068 基于漏洞,Golden ticket(黄金票据),SILVER ticket(白银票据)其中 Golden ticket(黄金票据),SILVER ticket(白银票据)属于权限维持技术。
MS14-068 造成的危害是允许域内任何一个普通用户,将自己提升至域管权限。微软给出的补丁是kb3011780
演示案例:
域横向移动 PTH 传递-Mimikatz
案例 1-域横向移动 PTH 传递-mimikatz
PTH ntlm 传递 未打补丁下的工作组及域连接
#域连
最低0.47元/天 解锁文章
扫一扫
416
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
