我眼中的内网渗透 入门篇

/ 渗透测试 / 1 条评论 / 8675 浏览

本站的所有程序和文章,仅限用于学习和研究目的;不得用于商业或者非法用途,否则,一切后果请用户自负!!

前言

关于Kerberos具体是怎么认证,我这里不再赘述。关键这也不是我这菜鸡能讲清楚的,网上相关文章一搜一大片。

要搞好内网渗透,光看我总结的这点东西肯定也是不可能的。我只能帮大家入门而已,本文重点是域渗透。

由于弟弟刚开始系统的学习内网渗透,某些东西可能理解还不是那么透彻,欢迎大佬斧正。

image-20210730134630080

内网渗透知识点

  • Windows 的认证协议主要有两种,一种是 NTLM 另一种是 Kerberos。我们平常使用的本地认证也是用的NTLM。除了NTLM还有一个LM的hash一些比较老的机器在用。

  • kerberos和NTLM认证共同使用的,不然你想想你怎么进行的PTH哈希传递攻击。NTLM也根据加密强度还分了好几个版本V1、v2。小弟学的还不是很深,不再深入讲。

  • 内网渗透有两种:一种是常规内网渗透,一种是域渗透。

    • 常规内网渗透不是本文的重点,简单提一下。
      • 常规内网渗透也就是渗透局域网
      • 常见攻击方法
        • 各种欺骗攻击
        • 各种弱口令尝试,比如smb的默认共享、RDP、ftp、各种数据库等
        • 内网web,一般比较脆弱,cve很好用。goby可以试试。
        • 还可以用打内网比较香的一些cve,如ms17-010这类的
  • kerberos认证总结:客户端先找as取号(用自己nthash加密),然后验证成功后返回给客户端tgt临时票据(krbtgt hash加密),然后拿着取到的号(tgt)去找tgs买票,验证成功后返回真正的票据(ts),票据为具体要访问某某服务器的票据,由具体服务器hash加密。

  • 关于kerberos认证知识点较多,认证流程也比较复杂,需要细品。下面是一些入门知识点

    • 域网络里面虽然采用的是Kerberos 协议进行认证,但是机器之间互相访问还是用的NTLM,这就是我们用pth可以进行攻击原理。

    • pth需要本地管理员权限

    • 在域网络里面,域主机之间互相访问是没有明文密码进行交互的。

    • 计算机加入域网络后,是还存在本地用户组(一般存在的是本地管理员),也就是一台机器会有本地用户和域用户可以进行登录。pth还可用于攻击相同密码的本地用户。

    • 域网络里两种攻击方式,一种是利用pth攻击(hash传递)。一种是利用kerberos设计缺陷和漏洞攻击

      • pth攻击:
        • 前提是已经拿到跳板机的管理员权限,利用mimikatz读到了ntlm hash。一般会读到本地管理员的hash和域用户的hash(有几率是域管理员)。
        • 可以利用本地管理员的hash进行横向攻击,有大概率其他域主机的本地管理员hash也是这个(密码多了麻烦,用的ghost系统造成)。还可以利用域用户的hash进行横向攻击。拿到的是普通域用户就得看运气,如果拿到的是域管理员就可以直接用pth攻击域控。
        • ptk知识点补充
          • ptk只能打了补丁使用
          • 如果目标打了补丁无法进行pth攻击
          • 可以采用ptk攻击,传递的是aes256
          • 补丁并不能完全禁止pth,只是增加了攻击成本。即使打了补丁也可以用sid=500(administrator)的用户进行pth攻击。
      • kerberos设计缺陷和漏洞攻击:
        • 利用kerberos的漏洞ms14-068进行攻击.
          • kerberos控制用户权限是用了PAC(Privilege Attribute Certificate)进行控制的,而这个漏洞可以把任意已登录域成员伪造成域管理员,也就是提权了。
          • 原理就是用来控制权限的PAC是和TGT票据绑定在一起的,利用漏洞把pac改成管理的,在重新注入到内存,该用户也就变成了管理员。
          • 核心就是伪造出TGT票据进行攻击
        • 利用CVE-2020-1472漏洞进行攻击,NetLogon(MS-NRPC)
          • 此服务在DC和域成员服务器上运行,为域身份验证提供重要服务,如果此服务停止成员服务器将无法登陆到域中。
          • 漏洞危害:将域控密码置空,打完及时恢复,否则会导致机器脱域。
          • 对方有av不能直接打,被直接ban了
          • 影响范围很广
        • ptt票据传递
          • 票据传递进行横向,不需要提权到管理员
          • 可以把ptt理解成cookie,可用klist命令查看
          • ptt票据传递主要属于权限维持技术,有黄金票据和白银票据。
          • Ptt和pth一样都得拿到目标hash才能进行下一步攻击,而相关的hash都是域控上的AD数据库存着。默认存放位置C:\Windows\NTDS\NTDS.dit
          • 黄金票据就是利用域里面的krbtgt特殊用户伪造出来的,可以用来登录域内任何主机,包括域控。
          • 白银票据是利用其它主机的hash伪造出来的,只能用来访问被伪造的主机。
        • SPN
          • 所有服务机器都要注册到spn,如mssql、exchange等服务,可以通过spn进行信息收集,攻击服务机器,进一步找非约束委派
        • 撸域控神洞nopac CVE-2021-42278,暂定学习

      写在最后

      域渗透知识点除了上面提到的,还有很多如SPN、委派之类的。只是小弟还没学到,没有列出。慢慢来吧。

      如果你能理解我本文的这些知识点,那么恭喜你入门了。

本文最后编辑时间为: 2021-07-30

如本文对你有帮助,点击广告支持一下吧,创造不易。

safe6
  1. 内容:"域网络里面虽然采用的是Kerberos 协议进行认证,但是它的本质还是基于ntlm进行认证的。这就是我们用pth可以进行攻击原理。" 本质应该不是NTLM进行认证,域内的pth是由于AS_REQ中也是通过Client的NTLM HASH去加密信息发送给AS认证,因此只要有NTLM HASH就可以进行认证了,感觉域内的PTH是这个样子的。 看了师傅的Golang免杀总结,非常的受益,膜