Over Pass the Hash/Pass the Key
Overpass The Hash/Pass The Key (PTK)
Overpass The Hash/Pass The Key (PTK) saldırısı, geleneksel NTLM protokolünün kısıtlandığı ve Kerberos kimlik doğrulamasının öncelikli olduğu ortamlar için tasarlanmıştır. Bu saldırı, bir kullanıcının NTLM hash'ini veya AES anahtarlarını kullanarak Kerberos biletleri talep ederek ağ içindeki kaynaklara izinsiz erişim sağlar.
Bu saldırıyı gerçekleştirmek için ilk adım, hedeflenen kullanıcının hesabının NTLM hash'ini veya şifresini elde etmeyi içerir. Bu bilgiyi elde ettikten sonra, hesabın bir Ticket Granting Ticket (TGT) alınabilir, bu da saldırganın kullanıcının izinleri olduğu hizmetlere veya makineleri erişmesine olanak tanır.
Süreç aşağıdaki komutlarla başlatılabilir:
For scenarios necessitating AES256, the -aesKey [AES key]
option can be utilized. Moreover, the acquired ticket might be employed with various tools, including smbexec.py or wmiexec.py, broadening the scope of the attack.
Encountered issues such as PyAsn1Error or KDC cannot find the name are typically resolved by updating the Impacket library or using the hostname instead of the IP address, ensuring compatibility with the Kerberos KDC.
An alternative command sequence using Rubeus.exe demonstrates another facet of this technique:
Bu yöntem, Anahtarı Geçir yaklaşımını yansıtır ve doğrudan kimlik doğrulama amaçları için biletin ele geçirilmesine ve kullanılmasına odaklanır. Bir TGT isteğinin başlatılmasının, varsayılan olarak RC4-HMAC kullanımını belirten 4768: Bir Kerberos kimlik doğrulama bileti (TGT) istendi
olayını tetiklediğine dikkat etmek önemlidir, ancak modern Windows sistemleri AES256'yı tercih eder.
Operasyonel güvenliğe uyum sağlamak ve AES256'yı kullanmak için aşağıdaki komut uygulanabilir:
Referanslar
Last updated