Over Pass the Hash/Pass the Key
Übergeben Sie den Hash/Schlüssel (PTK)
Der Übergeben Sie den Hash/Schlüssel (PTK) Angriff ist für Umgebungen konzipiert, in denen das traditionelle NTLM-Protokoll eingeschränkt ist und die Kerberos-Authentifizierung Vorrang hat. Dieser Angriff nutzt den NTLM-Hash oder AES-Schlüssel eines Benutzers, um Kerberos-Tickets anzufordern und unbefugten Zugriff auf Ressourcen innerhalb eines Netzwerks zu ermöglichen.
Um diesen Angriff auszuführen, besteht der erste Schritt darin, den NTLM-Hash oder das Passwort des Zielbenutzerkontos zu erlangen. Nachdem diese Informationen gesichert wurden, kann ein Ticket Granting Ticket (TGT) für das Konto erhalten werden, was es dem Angreifer ermöglicht, auf Dienste oder Maschinen zuzugreifen, für die der Benutzer Berechtigungen hat.
Der Prozess kann mit den folgenden Befehlen initiiert werden:
Für Szenarien, die AES256 erfordern, kann die Option -aesKey [AES-Schlüssel]
verwendet werden. Darüber hinaus kann das erworbene Ticket mit verschiedenen Tools wie smbexec.py oder wmiexec.py verwendet werden, um den Angriffsbereich zu erweitern.
Aufgetretene Probleme wie PyAsn1Error oder KDC cannot find the name werden in der Regel durch Aktualisieren der Impacket-Bibliothek oder Verwenden des Hostnamens anstelle der IP-Adresse gelöst, um die Kompatibilität mit dem Kerberos KDC sicherzustellen.
Eine alternative Befehlssequenz unter Verwendung von Rubeus.exe zeigt eine weitere Facette dieser Technik:
Diese Methode spiegelt den Ansatz Pass the Key wider, mit einem Schwerpunkt auf der Übernahme und direkten Nutzung des Tickets für Authentifizierungszwecke. Es ist wichtig zu beachten, dass die Initiierung einer TGT-Anforderung das Ereignis 4768: Ein Kerberos-Authentifizierungsticket (TGT) wurde angefordert
auslöst, was eine standardmäßige Verwendung von RC4-HMAC kennzeichnet, obwohl moderne Windows-Systeme AES256 bevorzugen.
Um den operationellen Sicherheitsstandards zu entsprechen und AES256 zu verwenden, kann der folgende Befehl angewendet werden:
Referenzen
Last updated