Over Pass the Hash/Pass the Key
Oor Pass die Hash/Pass die Key (PTK)
Die Overpass The Hash/Pass The Key (PTK)-aanval is ontwerp vir omgewings waar die tradisionele NTLM-protokol beperk is en Kerberos-verifikasie voorrang geniet. Hierdie aanval maak gebruik van die NTLM-hash of AES-sleutels van 'n gebruiker om Kerberos-kaartjies aan te vra, wat ongemagtigde toegang tot hulpbronne binne 'n netwerk moontlik maak.
Om hierdie aanval uit te voer, behels die aanvanklike stap die verkryging van die NTLM-hash of wagwoord van die geteikende gebruiker se rekening. Na die verkryging van hierdie inligting kan 'n Kaartjie-verleningkaartjie (TGT) vir die rekening verkry word, wat die aanvaller in staat stel om dienste of masjiene te benader waarvoor die gebruiker toestemmings het.
Die proses kan geïnisieer word met die volgende bevele:
Vir scenarios wat AES256 vereis, kan die -aesKey [AES sleutel] opsie gebruik word. Verder kan die verkreëerde kaartjie met verskeie gereedskap soos smbexec.py of wmiexec.py gebruik word, wat die omvang van die aanval verbreed.
Probleme soos PyAsn1Error of KDC kan nie die naam vind word tipies opgelos deur die Impacket-biblioteek op te dateer of die gasheernaam in plaas van die IP-adres te gebruik, om versoenbaarheid met die Kerberos KDC te verseker.
'n Alternatiewe opdragreeks met behulp van Rubeus.exe toon 'n ander aspek van hierdie tegniek:
Hierdie metode boots die Pass the Key benadering na, met 'n fokus op die oorneem en gebruik van die kaartjie direk vir verifikasiedoeleindes. Dit is noodsaaklik om daarop te let dat die inisiasie van 'n TGT versoek gebeurtenis 4768: 'n Kerberos-verifikasiekaartjie (TGT) is aangevra, wat 'n RC4-HMAC-gebruik standaard aandui, alhoewel moderne Windows-stelsels AES256 verkies.
Om aan te pas by operasionele veiligheid en AES256 te gebruik, kan die volgende bevel toegepas word:
Verwysings
Last updated
