- 1、本文档共9页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
域渗透——PassTheTicket-三好学生.PDF
原原文文地地址址:/tips/12159
0x00 前前言言
上篇介绍了有关Pass The Hash 和Pass The Key的技巧,这次接着介绍一下Pass The Ticket
此图片引用自/2015/12/1 /protecting-windows-networks-kerberos-attacks/
0x01 简简介介
域环境中,Kerberos协议被用来作身份认证,上图所示即为一次简单的身份认证流程,具体细节可以参考相关资料,这里仅介绍几个名词:
KDC(Key Distribution Center): 密钥分发中心,里面包含两个服务:AS和TGS
AS(Authentication Server): 身份认证服务
TGS(Ticket Granting Server): 票据授予服务
TGT(Ticket Granting Ticket): 由身份认证服务授予的票据,用于身份认证,存储 内存,默认有效期为10小时
Pass The Ticket: 如果我们能够拿到用户的TGT,并将其导入到内存,就可以冒充该用户获得其访问权限
了解了相关名词之后,我们从实际利用的角度来介绍与Pass The Ticket有关的技术
测测试试环环境境::
#!bash
域控:
os:server 2008 r2 x64
ip:32
域内主机:
os:win7 x64
ip:25
0x02 MS14-068
时至今日,该漏洞已经过去一年多,针对其攻击的防御检测方法已经很成熟,所以对其利用方法做一个回顾。
1、、PyK K
最先公开的利用方法是Sylvain Monné用Python实现的PyKEK
准备条件:
域用户及其口令
域用户对应sid
域控地址
Win7及以上系统
Tips::
1. 操作系统要求Win7及以上,这是因为XP不支持导入Ticket
2. 攻击主机可使用其他域用户信息,比如可以 主机A上用域用户B的口令及sid攻击
. 将Python脚本转成exe即可 任意一台Windows主机使用
漏洞利用的步骤为:
如果漏洞触发成功,会生成.ccache文件
通过klist purge先清除内存中的Ticket
使用mimikatz的ptc功能将.ccache导入到内存
通过klist查看导入的Ticket
使用net use 连接域控
Tips::
1. 如果不先清除内存中的Ticket直接导入,有可能会失败
2. 连接域控要使用域控地址,不要用IP
2、、kekeo
Benjamin DELPY用c实现了MS14-068的利用工具,更简单高效。
因为域用户对应sid本就可以通过程序自动获取,清除导入票据也能自动实现,当然,如果想用其他域用户信息攻击,也可以加上sid手动导入票据
kekeo的快捷用法仅需要以下参数:
域用户及其口令
域控地址
实际测试如图,成功获得了域控的访问权限
下载地址:
/gentilkiwi/kekeo/releases
0x03 xport the ticket
我们成功获得域控权限后,就可以导出域控内存中的Ticket, 默认的10个小时以内都可以利用来登录域控
通过mimikatz导出内存中的Ticket,执行:
#!bash
sekurlsa:: icke s /expor
如图
保存成文件,一共导出如下文件,如图
挑选其中的[0;2d87a]-2-0-40e00000-a@krb g -TEST.LOCAL.kirbi 域普通用户的主机进行导入
执行:
#!bash
mimika z "kerberos::p C:\ es \[0;2d87a]-2-0-40e00000-a@krb g -TEST.LOCAL.kirbi"
如图,导入成功
查看是否有域控权限,如图
Tips::
1. 64位系统使用ptt功能要用 2位的mimikatz,如果用64的mimikatz,那么无法导入Ticket
2. 这种方式导入的Ticket默认 10小时以内生效
0x04 Golden Ticket
每个用户的Ticket都是由krbtgt的密码Hash来生成的,那么,我们如果拿到了krbtgt的密码Hash,不就可以随意伪造Ticket了吗?
实际上只要拿到了域
您可能关注的文档
- 土耳其驻北京大使馆2308.2012中国公民申请签证所需材料(通知)I.doc
- 在京招生计划多,录取几率较大(一)办学有特色构建了以印刷.ppt
- 在人才交流中心党委党支部书记培训班上的讲稿-深圳市经理进修学院.doc
- 在加拿大初次购房-Agnes&Stephen.PDF
- 在奔跑中领悟精彩人生-雅培.PDF
- 在政府内实施五天工作周公众意见摘要.PDF
- 在迎接义务教育均衡发展国家评估认定-广昌县.doc
- 地平(华政)奖学金实施细则-华东政法大学.doc
- 地方校友会专刊-湖南工程学院.PDF
- 城南中学高二期末语文试题-六安市城南中学.doc
- 2022-2023学年山东省临沂市蒙阴县实验中学联考数学试题试卷含解析.doc
- 2022-2023学年安徽舒城桃溪中学高考适应性测试(3月1日)数学试题含解析.doc
- 2022-2023学年安徽省青阳县第一中学高三第五次月考数学试题试卷数学试题含解析.doc
- 牛呼吸道疾病综合征病原PCR检测技术规范.pdf
- 大庆市野生鸟类疫源疫病监测技术规范.pdf
- fresh线性代数作业解决问题.pdf
- 005a1630模拟电子技术基础教学大纲.pdf
- 2022-2023学年安徽省阜阳市临泉县第一中学高三第二次高考模拟考试数学试题试卷含解析.doc
- 2022-2023学年山东省临沂市兰陵县第一中学高三5月联考数学试题含解析.doc
- samsung专有内容可能会更改electrical part list电气零件清单.pdf
文档评论(0)