“爱设计”获数千万元A轮融资
06-17
1.简介 PTT(Pass the Ticket)攻击是一种使用Kerberos票据代替明文密码的攻击或 NTLM 哈希方法。这种攻击方式可以利用Kerberos票证进行内网的横向渗透,并且不需要管理员权限。
它最常见的用途可能是使用金票和银票通过送票方式访问主机。利用方法非常简单。
例如,通过这种方法,攻击者可以从Linux系统窃取Kerberos凭据,然后在身份验证时将其传递给Windows机器,以实现横向渗透。2.上一篇文章从ATT&CK的角度推荐红蓝对抗:1.隧道穿透技术详解。
ATT&CK视角下的红蓝对抗: 2. ATT&CK视角下的内网检测协议出站红蓝对抗: 3. 内网常规隧道的利用方法 ATT&CK视角下的红蓝对抗: 4. 内网渗透使用 Earthworm(EW)进行隧道穿透 ATT&CK 视角下的红蓝对抗: 5. 内网穿透 使用 HTTP 协议进行隧道穿透 ATT&CK 视角下的红蓝对抗: 6. 内网穿透使用 FRP 进行隧道穿透 ATT&CK 下的红蓝对抗视角: 7. 内网渗透使用Venom进行隧道渗透 ATT&CK视角的红蓝对抗: 8. 内网渗透使用Termite进行隧道渗透。 ATT&CK视角下的红蓝对抗: 9、内网穿透采用GRE协议进行隧道穿透。
ATT&CK 角度的红蓝对抗: 10. 使用 DNS 协议进行内网渗透 隧道渗透角度的红蓝对抗 ATT&CK:11. 使用 SSH 协议进行隧道渗透的内网渗透 ATT&CK 角度的红蓝对抗: 12内网渗透的Windows文件传输技术详解ATT&CK视角下的红蓝对抗:13.内网渗透的Linux文件传输技术详解ATT&CK视角下的红蓝对抗:14.内网的跳出流量分析及检测方法渗透 ATT&CK 视角的红蓝对抗:10 5、内网渗透:采用ICMP 协议进行隧道渗透。 ATT&CK视角下的红蓝对抗: 16、横向移动:利用Windows计划任务进行横向移动。
ATT&CK视角下的红蓝对抗: 17、利用横向移动 远程服务进行横向渗透。 ATT&CK视角下的红蓝对抗:18.横向移动利用WinRM进行横向渗透。
ATT&CK视角下的红蓝对抗: 19、横向移动从ATT&CK视角下利用PTH(哈希传输)进行横向渗透。红蓝对峙下:二十。
横向移动利用PTT(Pass the Ticket)进行横向渗透3.利用Pass the Ticket(Pass the Ticket)进行横向渗透PTT(Pass the Ticket,票证传递)攻击是一种使用Kerberos票证的攻击,是明文的替代方案密码或 NTLM 哈希值。这种攻击方式可以利用Kerberos票证进行内网的横向渗透,并且不需要管理员权限。
它最常见的用途可能是使用金票和银票通过送票方式访问主机。利用方法非常简单。
例如,通过这种方法,攻击者可以从Linux系统窃取Kerberos凭据,然后在身份验证时将其传递给Windows机器,以实现横向渗透。 1.MS14 - MS14 - 是密钥分发中心 (KDC) 服务中的一个 Windows 漏洞,kdcsvc.dll 位于域控制器上的密钥分发中心中。
它允许经过身份验证的用户将任意 PAC 插入其 Kerberos 票证中,并可能允许攻击者将未经授权的域用户帐户的权限提升为域管理员的权限。攻击者可以通过构造特定的请求报文来达到提权的目的。
该漏洞的利用条件如下。获取域内普通用户的帐号和密码。
获取域内普通用户的SID。服务器未安装KB补丁。
使用过程如下。 1) 检查服务器是否安装了KB补丁。
执行systeminfo命令可以获取详细的系统信息。命令执行结果如图1-1所示。
图1-1 检查补丁是否安装 2) 获取用户的SID 值。这次使用的域用户是test1,是域中的普通用户。
使用命令 whoami /all 查询用户SID。执行结果如图1-2所示。
可以看到当前用户的SID值为S-1-5。 -21-6-30-20-。
图1-2 获取SID 值 3) 创建工单前,请清除系统中的工单。使用Mimikatz工具删除票据并执行kerberos::purge命令。
命令执行结果如图1-3所示。图1-3 清除系统中的票据 4) 下载ms14-.exe漏洞利用程序到机器上进行测试,输入命令ms14-.exe -u -p Admin。
-s S-1-5-21 -6-30-20--d ..1.2,其中-u参数用于指定域用户@域名,-p参数用于指定域用户密码,-s参数用于指定域用户SID,-d参数用于指定域控IP。命令执行结果如图1-4所示。
图1-4 漏洞利用测试 5) 漏洞利用成功后,会生成相应的票据。我们使用 Mimikatz 将凭证注入内存并执行命令“kerberos::ptc Ticket”。
命令执行结果如图1-5所示。图1-5 证书导入 6) 将票据注入内存后,使用psexec.exe工具连接到域控建立交互式会话。
执行命令 psexec.exe \\..1.2 cmd.exe 获取域控权限。命令执行结果如图1-6所示。
图1-6 获取域控权限 2.使用kekeo进行票据传递 kekeo工具是一个开源工具,主要用于票据传递、S4U约束委派滥用等。如果您想使用该工具生成票据,您需要使用域名、用户名和哈希值。
1)首先我们使用cmd打开当前工具的目录,输入命令kekeo.exe“tgt::ask /user:Administrator /domain:test.com /ntlm:c17d9caa0cb6f5”。系统会生成工单,如图1-7所示。
图1-7 生成票据 2) 在注入票据之前,需要清除当前系统中存储的票据。使用 kerberos::purge 命令清除当前内存中的其他票据。
如果原始票据未清除,票据注入可能会失败。命令执行结果如图1-8所示。
图1-8 清除内存票据 3) 执行命令“kerberos::ptt Ticket Path”将票据注入内存。命令执行结果如图1-9所示。
图1-9 话单导入 4)注入完成后,使用命令klist 查看话单是否注入成功。命令执行结果如图1-10所示。
可以看到票据注入成功。图1-10 查看Ticket信息 5) 使用dir命令验证Ticket是否有权限。
使用命令dir \\..1.2\C$可以远程查看域控制器C盘目录下的文件。命令执行结果如图1-11所示。
可以看到域控制器下的文件是可以访问的。图1-11 列出域控制下的文件 4.本文摘要 本文介绍一种利用Kerberos票据进行横向渗透的攻击方法——PTT(票据传递)攻击。
攻击者可以利用这种方法从Linux系统窃取Kerberos凭据,然后在身份验证时将其传递给Windows机器,以实现横向渗透。文章还详细介绍了利用MS14漏洞进行PTT攻击的流程,以及使用kekeo工具进行送票的方法。
最后,文章通过一个例子演示了如何利用票证传递攻击来获取域控制权限。
版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件 举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
标签:
相关文章
06-17
06-21
06-21
06-21
06-18
最新文章
【玩转GPU】ControlNet初学者生存指南
【实战】获取小程序中用户的城市信息(附源码)
包雪雪简单介绍Vue.js:开学
Go进阶:使用Gin框架简单实现服务端渲染
线程池介绍及实际案例分享
JMeter 注释 18 - JMeter 常用配置组件介绍
基于Sentry的大数据权限解决方案
【云+社区年度征文集】GPE监控介绍及使用