域渗透之票据传递攻击（pass the ticket，ptt）

票据传递攻击（PtT）是一种使用Kerberos票据代替明文密码或NTLM哈希的方法。PtT最多见的用途多是使用黄金票据和白银票据，经过PtT访问主机至关简单。

1.ptt攻击的部分

就不是简单的NTLM认证了，它是利用Kerberos协议进行攻击的

以前介绍了Kerberos协议具体工做方法：Kerberos认证方式，在域中，简要介绍一下：

• 客户机将明文密码进行NTLM哈希,而后和时间戳一块儿加密(使用krbtgt密码hash做为密钥)，发送给kdc（域控），kdc对用户进行检测，成功以后建立TGT(Ticket-Granting Ticket)
• 将TGT进行加密签名返回给客户机器，只有域用户krbtgt才能读取kerberos中TGT数据
• 而后客户机将TGT发送给域控制器KDC请求TGS（票证受权服务）票证，而且对TGT进行检测
• 检测成功以后，将目标服务帐户的NTLM以及TGT进行加密，将加密后的结果返回给客户机。

1.1 ms14-068

MS14-068是密钥分发中心（KDC）服务中的Windows漏洞。它容许通过身份验证的用户在其Kerberos票证（TGT）中插入任意PAC（表示全部用户权限的结构）。该漏洞位于kdcsvc.dll域控制器的密钥分发中心(KDC)中。用户能够经过呈现具备改变的PAC的Kerberos TGT来得到票证.

在msf里也集成了ms14-068的利用操做

要想使用咱们首先得：

1.域用户sid和域控主机名，

 

2.目标域名称

3.当前域用户帐户和密码

 

 

而后再msf下

msf > use auxiliary/admin/kerberos/ms14_068_kerberos_checksum

注意：这里的rhost设置成你想要假冒的域的主机名，通常是域控主机名

而后找到生成的文件，TGT凭单（具备特权PAC信息）已保存在中

这种格式很是有用，由于能够经过Mimikatz在Windows客户端上或在linux客户端上使用MIT kerberos导入

同时，可使用mimikatz转换格式（任何mimikatz安装均可以完成工做，而无需成为域计算机或相似的东西）：

注意：mimikatz不支持注入xp以及如下系统

在kail系统下尚未默认安装kerberos的认证功能因此咱们首先要安装一个kerberos客户端：

apt-get install krb5-user

而后在目标靶机上传mimikatz和生成的bin文件，将咱们生成的bin文件转换为.kirbi文件，而后再在经过kiwi meterpreter扩展名加载。首先须要在域计算机上进行会话，而后使用kiwi扩展名导入TGT票证：

上传mimikatz：

上传bin文件：

 

mimikatz：

 

ok，导出的文件0-00000000-zhu1@krbtgt-XIAN.COM.kirbi如今能够用于kiwi meterpreter扩展名加载。首先须要在域计算机上进行会话，而后使用kiwi扩展名导入TGT票证：

返回到meterpreter，注意这里必需要有管理员权限才行。

meterpreter > getuid Server username: NT AUTHORITY\SYSTEM

运行load kiwi

 

将生成的kirbi下载回来到本地/tmp/文件夹内：（由于我kali上的kerberos安装有问题...）

download c:/wmpub/0-00000000-zhu1@krbtgt-XIAN.COM.kirbi /tmp/

 

最后注入票据：

 

最后一步老是失败，多是msf上mimikatz对windows2003的支持问题，下次在win7上试一下。

 

1.2 使用ms14-068.exe

除了使用msf配合mimikatz，还可使用ms14-068.exe，全程在目标机上完成注入

1.2.1 使用whoami/user获得域用户的sid

1.2.2 执行payload生成TGT票据

    使用工具：ms14-068

    使用方法：

ms14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器地址 -p 域成员密码

        运行：

MS14-068.exe -u xian.com -s S-1-5-21-3472572548-430068626-1276128607-1106 -d 192.168.5.2 -p xxx

若是操做正确，且域机器是能够和域控制器互通则会建立.ccache文件

当前目录下生成伪造的票据文件：

1.2.3 票据注入

     使用mimikatz将票据注入到当前内存中，伪造凭证，若是成功则拥有域管理权限，可任意访问域中全部机器

        mimikatz # kerberos::purge //清空当前机器中全部凭证，若是有域成员凭证会影响凭证伪造 
        mimikatz # kerberos::list //查看当前机器凭证 
        mimikatz # kerberos::ptc 票据文件 //将票据注入到内存中

 

 

显示错误

通过上面实验，和网上资料，域成员主机若是为windows xp或windows server 2003，是没法正常伪造票据的