我眼中的内网渗透 入门篇

/ 渗透测试 / 1 条评论 / 2906 浏览

前言

​ 关于Kerberos具体是怎么认证,我这里不再赘述。关键这也不是我这菜鸡能讲清楚的,网上相关文章一搜一大片。

要搞好内网渗透,光看我总结的这点东西肯定也是不可能的。我只能帮大家入门而已,本文重点是域渗透。

由于弟弟刚开始系统的学习内网渗透,某些东西可能理解还不是那么透彻,欢迎大佬斧正。

image-20210730134630080

内网渗透知识点

  • Windows 的认证协议主要有两种,一种是 NTLM 另一种是 Kerberos。我们平常使用的本地认证也是用的NTLM。除了NTLM还有一个LM的hash一些比较老的机器在用。其实kerberos也是用的NTLM,不然你想想你怎么进行的PTH哈希传递攻击。NTLM也根据加密强度还分了好几个版本V1、v2。小弟学的还不是很深,不再深入讲。

  • 内网渗透有两种:一种是常规内网渗透,一种是域渗透。

    • 常规内网渗透不是本文的重点,简单提一下。
      • 常规内网渗透也就是渗透局域网
      • 常见攻击方法
        • 各种欺骗攻击
        • 各种弱口令尝试,比如smb的默认共享、RDP、ftp、各种数据库等
        • 内网web,一般比较脆弱,cve很好用。goby可以试试。
        • 还可以用打内网比较香的一些cve,如ms17-010这类的
  • 关于kerberos认证知识点较多,认证流程也比较复杂,但是我们搞好域渗透首先需要知道以下重点即可。先入门再说别的

    • 域网络里面虽然采用的是Kerberos 协议进行认证,但是它的本质还是基于ntlm进行认证的。这就是我们用pth可以进行攻击原理。

    • 在域网络里面,域主机之间互相访问是没有明文密码进行交互的。

    • 计算机加入域网络后,是还存在本地用户组(一般存在的是本地管理员),也就是一台机器会有本地用户和域用户可以进行登录。

    • 域网络里两种攻击方式,一种是利用pth攻击(hash传递)。一种是利用kerberos设计缺陷和漏洞攻击

      • pth攻击:
        • 前提是已经拿到跳板机的管理员权限,利用mimikatz读到了ntlm hash。一般会读到本地管理员的hash和域用户的hash(有几率是域管理员)。
        • 可以利用本地管理员的hash进行横向攻击,有大概率其他域主机的本地管理员hash也是这个(密码多了麻烦,用的ghost系统造成)。还可以利用域用户的hash进行横向攻击。拿到的是普通域用户就得看运气,如果拿到的是域管理员就可以直接用pth攻击域控。
        • ptk知识点补充
          • 如果目标打了补丁无法进行pth攻击
          • 可以采用ptk攻击,传递的是aes256
          • 补丁并不能完全禁止pth,只是增加了攻击成本。即使打了补丁也可以用sid=500(administrator)的用户进行pth攻击。
      • kerberos设计缺陷和漏洞攻击:
        • 利用kerberos的漏洞ms14-068进行攻击.
          • kerberos控制用户权限是用了PAC(Privilege Attribute Certificate)进行控制的,而这个漏洞可以把任意已登录域成员伪造成域管理员,也就是提权了。
          • 原理就是用来控制权限的PAC是和TGT票据绑定在一起的,利用漏洞把pac改成管理的,在重新注入到内存,该用户也就变成了管理员。
        • 利用CVE-2020-1472漏洞进行攻击,NetLogon(MS-NRPC)
          • 此服务在DC和域成员服务器上运行,为域身份验证提供重要服务,如果此服务停止成员服务器将无法登陆到域中。
          • 漏洞危害:将域控密码置空
          • 影响范围很广
        • ptt票据传递,黄金票据和白银票据。
          • 可以把ptt理解成cookie,ptt票据传递属于权限维持技术.
          • Ptt和pth一样都得拿到目标hash才能进行下一步攻击,而相关的hash都是域控上的AD数据库存着。默认存放位置C:\Windows\NTDS\NTDS.dit
          • 黄金票据就是利用域里面的krbtgt特殊用户伪造出来的,可以用来登录域内任何主机,包括域控。
          • 白银票据是利用其它主机的hash伪造出来的,只能用来访问被伪造的主机。

      写在最后

      域渗透知识点除了上面提到的,还有很多如SPN、委派之类的。只是小弟还没学到,没有列出。慢慢来吧。

      如果你能理解我本文的这些知识点,那么恭喜你入门了。

safe6

本站的所有程序和文章,仅限用于学习和研究目的;不得用于商业或者非法用途,否则,一切后果请用户自负!! 最后编辑时间为: 2021-07-30

  1. 内容:"域网络里面虽然采用的是Kerberos 协议进行认证,但是它的本质还是基于ntlm进行认证的。这就是我们用pth可以进行攻击原理。" 本质应该不是NTLM进行认证,域内的pth是由于AS_REQ中也是通过Client的NTLM HASH去加密信息发送给AS认证,因此只要有NTLM HASH就可以进行认证了,感觉域内的PTH是这个样子的。 看了师傅的Golang免杀总结,非常的受益,膜