Over Pass the Hash/Pass the Key
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Der Overpass The Hash/Pass The Key (PTK) Angriff ist für Umgebungen konzipiert, in denen das traditionelle NTLM-Protokoll eingeschränkt ist und die Kerberos-Authentifizierung Vorrang hat. Dieser Angriff nutzt den NTLM-Hash oder die AES-Schlüssel eines Benutzers, um Kerberos-Tickets anzufordern, was unbefugten Zugriff auf Ressourcen innerhalb eines Netzwerks ermöglicht.
Um diesen Angriff auszuführen, besteht der erste Schritt darin, den NTLM-Hash oder das Passwort des Zielbenutzerkontos zu erlangen. Nach dem Sichern dieser Informationen kann ein Ticket Granting Ticket (TGT) für das Konto erhalten werden, was dem Angreifer den Zugriff auf Dienste oder Maschinen ermöglicht, für die der Benutzer Berechtigungen hat.
Der Prozess kann mit den folgenden Befehlen initiiert werden:
Für Szenarien, die AES256 erfordern, kann die Option -aesKey [AES key]
verwendet werden. Darüber hinaus kann das erworbene Ticket mit verschiedenen Tools, einschließlich smbexec.py oder wmiexec.py, verwendet werden, was den Umfang des Angriffs erweitert.
Aufgetretene Probleme wie PyAsn1Error oder KDC kann den Namen nicht finden werden typischerweise durch ein Update der Impacket-Bibliothek oder durch die Verwendung des Hostnamens anstelle der IP-Adresse gelöst, um die Kompatibilität mit dem Kerberos KDC sicherzustellen.
Eine alternative Befehlssequenz mit Rubeus.exe zeigt einen weiteren Aspekt dieser Technik:
Diese Methode spiegelt den Pass the Key-Ansatz wider, mit dem Fokus auf das Übernehmen und Nutzen des Tickets direkt für Authentifizierungszwecke. Es ist wichtig zu beachten, dass die Initiierung einer TGT-Anfrage das Ereignis 4768: Ein Kerberos-Authentifizierungsticket (TGT) wurde angefordert
auslöst, was standardmäßig die Verwendung von RC4-HMAC bedeutet, obwohl moderne Windows-Systeme AES256 bevorzugen.
Um der Betriebssicherheit zu entsprechen und AES256 zu verwenden, kann der folgende Befehl angewendet werden:
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)