Over Pass the Hash/Pass the Key
Pređi preko heša/Pređi ključem (PTK)
Napad Pređi preko heša/Pređi ključem (PTK) je dizajniran za okruženja gde je tradicionalni NTLM protokol ograničen, a Kerberos autentikacija ima prioritet. Ovaj napad koristi NTLM heš ili AES ključeve korisnika kako bi dobio Kerberos tikete, omogućavajući neovlašćen pristup resursima unutar mreže.
Za izvođenje ovog napada, početni korak uključuje dobijanje NTLM heša ili lozinke ciljanog korisničkog naloga. Nakon što se obezbedi ova informacija, može se dobiti Ticket Granting Ticket (TGT) za nalog, omogućavajući napadaču pristup servisima ili mašinama do kojih korisnik ima dozvole.
Proces se može pokrenuti sledećim komandama:
Za scenarije koji zahtevaju AES256, opcija -aesKey [AES ključ] može se koristiti. Osim toga, dobijeni tiket može se koristiti sa različitim alatima, uključujući smbexec.py ili wmiexec.py, proširujući opseg napada.
Nailaženje na probleme poput PyAsn1Error ili KDC cannot find the name obično se rešava ažuriranjem Impacket biblioteke ili korišćenjem imena računara umesto IP adrese, obezbeđujući kompatibilnost sa Kerberos KDC.
Alternativni niz komandi korišćenjem Rubeus.exe prikazuje drugu stranu ove tehnike:
Ova metoda odražava pristup Pass the Key, sa fokusom na preuzimanju i korišćenju tiketa direktno u svrhu autentikacije. Ključno je napomenuti da inicijacija zahteva za TGT pokreće događaj 4768: Zahtevan je Kerberos autentikacioni tiket (TGT), što označava korišćenje RC4-HMAC podrazumevano, iako moderni Windows sistemi preferiraju AES256.
Da bi se uskladili sa operativnom sigurnošću i koristili AES256, može se primeniti sledeća komanda:
Reference
Last updated
