Over Pass the Hash/Pass the Key
Overpass The Hash/Pass The Key (PTK)
Overpass The Hash/Pass The Key (PTK) हमला उन वातावरणों के लिए डिज़ाइन किया गया है जहाँ पारंपरिक NTLM प्रोटोकॉल पर प्रतिबंध है, और Kerberos प्रमाणीकरण प्राथमिकता देता है। यह हमला एक उपयोगकर्ता के NTLM हैश या AES कुंजियों का उपयोग करता है ताकि Kerberos टिकट प्राप्त किया जा सके, जिससे नेटवर्क के भीतर संसाधनों तक अनधिकृत पहुंच मिल सके।
इस हमला को क्रियान्वित करने के लिए, पहला कदम लक्षित उपयोगकर्ता के खाते का NTLM हैश या पासवर्ड प्राप्त करना है। इस जानकारी को सुरक्षित करने के बाद, खाते के लिए टिकट ग्रांटिंग टिकट (TGT) प्राप्त किया जा सकता है, जिससे हमलावता सेवाओं या मशीनों तक पहुंच मिल सकती है जिसकी अनुमति उपयोगकर्ता को है।
इस प्रक्रिया को निम्नलिखित कमांडों से प्रारंभ किया जा सकता है:
उदाहरणों के लिए AES256 की आवश्यकता होने पर, -aesKey [AES key]
विकल्प का उपयोग किया जा सकता है। इसके अतिरिक्त, प्राप्त टिकट का उपयोग कई उपकरणों के साथ किया जा सकता है, जैसे smbexec.py या wmiexec.py, हमले के दायरे को विस्तारित करते हुए।
पाया गया समस्याएं जैसे PyAsn1Error या KDC नाम नहीं मिला आम तौर पर Impacket पुस्तकालय को अपडेट करके या IP पते की बजाय होस्टनाम का उपयोग करके हल होती है, जिससे केरबेरोस KDC के साथ संगति सुनिश्चित हो।
Rubeus.exe का उपयोग करके एक वैकल्पिक कमांड क्रम इस तकनीक के एक और पहलू को दर्शाता है:
यह विधि पास द की दृष्टिकोण को परामर्श और प्रमाणीकरण के उद्देश्यों के लिए सीधे टिकट का उपयोग करने पर ध्यान केंद्रित करती है। यह महत्वपूर्ण है कि एक टीजीटी अनुरोध की प्रारंभिकता घटक 4768: एक केरबेरोस प्रमाणीकरण टिकट (TGT) का अनुरोध किया गया था
, जिससे डिफ़ॉल्ट रूप से RC4-HMAC का उपयोग किया जाता है, हालांकि आधुनिक Windows सिस्टम AES256 को अधिक पसंद करते हैं।
संचालन सुरक्षा को अनुरूप बनाने और AES256 का उपयोग करने के लिए निम्नलिखित कमांड लागू किया जा सकता है:
संदर्भ
Last updated