域渗透——PassTheTicket-三好学生.PDF

原原文文地地址址:/tips/12159 0x00 前前言言 上篇介绍了有关Pass The Hash 和Pass The Key的技巧，这次接着介绍一下Pass The Ticket 此图片引用自/2015/12/1 /protecting-windows-networks-kerberos-attacks/ 0x01 简简介介 域环境中，Kerberos协议被用来作身份认证，上图所示即为一次简单的身份认证流程，具体细节可以参考相关资料，这里仅介绍几个名词： KDC(Key Distribution Center)： 密钥分发中心，里面包含两个服务：AS和TGS AS(Authentication Server)： 身份认证服务 TGS(Ticket Granting Server)： 票据授予服务 TGT(Ticket Granting Ticket): 由身份认证服务授予的票据，用于身份认证，存储 内存，默认有效期为10小时 Pass The Ticket： 如果我们能够拿到用户的TGT，并将其导入到内存，就可以冒充该用户获得其访问权限 了解了相关名词之后，我们从实际利用的角度来介绍与Pass The Ticket有关的技术 测测试试环环境境：： #!bash 域控： os:server 2008 r2 x64 ip：32 域内主机： os:win7 x64 ip：25 0x02 MS14-068 时至今日，该漏洞已经过去一年多，针对其攻击的防御检测方法已经很成熟，所以对其利用方法做一个回顾。 1、、PyK K 最先公开的利用方法是Sylvain Monné用Python实现的PyKEK 准备条件： 域用户及其口令 域用户对应sid 域控地址 Win7及以上系统 Tips：： 1. 操作系统要求Win7及以上，这是因为XP不支持导入Ticket 2. 攻击主机可使用其他域用户信息，比如可以 主机A上用域用户B的口令及sid攻击 . 将Python脚本转成exe即可 任意一台Windows主机使用 漏洞利用的步骤为： 如果漏洞触发成功，会生成.ccache文件 通过klist purge先清除内存中的Ticket 使用mimikatz的ptc功能将.ccache导入到内存 通过klist查看导入的Ticket 使用net use 连接域控 Tips：： 1. 如果不先清除内存中的Ticket直接导入，有可能会失败 2. 连接域控要使用域控地址，不要用IP 2、、kekeo Benjamin DELPY用c实现了MS14-068的利用工具，更简单高效。 因为域用户对应sid本就可以通过程序自动获取，清除导入票据也能自动实现，当然，如果想用其他域用户信息攻击，也可以加上sid手动导入票据 kekeo的快捷用法仅需要以下参数： 域用户及其口令 域控地址 实际测试如图，成功获得了域控的访问权限 下载地址： /gentilkiwi/kekeo/releases 0x03 xport the ticket 我们成功获得域控权限后，就可以导出域控内存中的Ticket， 默认的10个小时以内都可以利用来登录域控 通过mimikatz导出内存中的Ticket，执行： #!bash sekurlsa:: icke s /expor 如图 保存成文件，一共导出如下文件，如图 挑选其中的[0;2d87a]-2-0-40e00000-a@krb g -TEST.LOCAL.kirbi 域普通用户的主机进行导入 执行： #!bash mimika z "kerberos::p C:\ es \[0;2d87a]-2-0-40e00000-a@krb g -TEST.LOCAL.kirbi" 如图，导入成功 查看是否有域控权限，如图 Tips：： 1. 64位系统使用ptt功能要用 2位的mimikatz，如果用64的mimikatz，那么无法导入Ticket 2. 这种方式导入的Ticket默认 10小时以内生效 0x04 Golden Ticket 每个用户的Ticket都是由krbtgt的密码Hash来生成的，那么，我们如果拿到了krbtgt的密码Hash，不就可以随意伪造Ticket了吗？ 实际上只要拿到了域