Over Pass the Hash/Pass the Key
Overpass The Hash/Pass The Key (PTK)
O ataque Overpass The Hash/Pass The Key (PTK) é projetado para ambientes onde o protocolo NTLM tradicional é restrito e a autenticação Kerberos tem precedência. Esse ataque utiliza o hash NTLM ou chaves AES de um usuário para solicitar tickets Kerberos, permitindo acesso não autorizado a recursos dentro de uma rede.
Para executar esse ataque, o primeiro passo envolve adquirir o hash NTLM ou a senha da conta do usuário alvo. Ao garantir essas informações, um Ticket Granting Ticket (TGT) para a conta pode ser obtido, permitindo que o atacante acesse serviços ou máquinas para os quais o usuário tem permissões.
O processo pode ser iniciado com os seguintes comandos:
Para cenários que necessitam de AES256, a opção -aesKey [chave AES]
pode ser utilizada. Além disso, o ticket adquirido pode ser empregado com várias ferramentas, incluindo smbexec.py ou wmiexec.py, ampliando o escopo do ataque.
Problemas encontrados, como PyAsn1Error ou KDC cannot find the name, são tipicamente resolvidos atualizando a biblioteca Impacket ou utilizando o nome do host em vez do endereço IP, garantindo compatibilidade com o KDC do Kerberos.
Uma sequência de comandos alternativa usando o Rubeus.exe demonstra outro aspecto dessa técnica:
Este método espelha a abordagem Pass the Key, com foco na apropriação e utilização direta do ticket para fins de autenticação. É crucial notar que a inicialização de uma solicitação de TGT aciona o evento 4768: Um ticket de autenticação Kerberos (TGT) foi solicitado
, indicando o uso do RC4-HMAC por padrão, embora sistemas Windows modernos prefiram o AES256.
Para conformidade com a segurança operacional e uso do AES256, o seguinte comando pode ser aplicado:
Referências
Last updated