Over Pass the Hash/Pass the Key
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Overpass The Hash/Pass The Key (PTK) 攻撃は、従来の NTLM プロトコルが制限され、Kerberos 認証が優先される環境向けに設計されています。この攻撃は、ユーザーの NTLM ハッシュまたは AES キーを利用して Kerberos チケットを取得し、ネットワーク内のリソースへの不正アクセスを可能にします。
この攻撃を実行するための最初のステップは、ターゲットユーザーアカウントの NTLM ハッシュまたはパスワードを取得することです。この情報を確保した後、アカウントのチケットグラントチケット (TGT) を取得でき、攻撃者はユーザーが権限を持つサービスやマシンにアクセスできます。
プロセスは以下のコマンドで開始できます:
AES256が必要なシナリオでは、-aesKey [AES key]
オプションを利用できます。さらに、取得したチケットはsmbexec.pyやwmiexec.pyなどのさまざまなツールで使用でき、攻撃の範囲を広げます。
_PyAsn1Error_や_KDC cannot find the name_などの問題は、通常、Impacketライブラリを更新するか、IPアドレスの代わりにホスト名を使用することで解決され、Kerberos KDCとの互換性が確保されます。
Rubeus.exeを使用した別のコマンドシーケンスは、この技術の別の側面を示しています:
この方法はPass the Keyアプローチを反映しており、認証目的のためにチケットを直接操縦し利用することに焦点を当てています。TGTリクエストの開始はイベント4768: A Kerberos authentication ticket (TGT) was requested
をトリガーし、デフォルトでRC4-HMACの使用を示しますが、現代のWindowsシステムはAES256を好みます。
運用セキュリティに準拠し、AES256を使用するには、次のコマンドを適用できます:
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)