Over Pass the Hash/Pass the Key
最后更新于
最后更新于
**Overpass The Hash/Pass The Key (PTK)**攻击旨在针对传统NTLM协议受限且Kerberos认证优先的环境。该攻击利用用户的NTLM哈希或AES密钥来获取Kerberos票据,从而未经授权地访问网络中的资源。
要执行此攻击,初始步骤涉及获取目标用户帐户的NTLM哈希或密码。在获得此信息后,可以获取帐户的票据授予票据(TGT),使攻击者能够访问用户具有权限的服务或机器。
可以使用以下命令启动该过程:
在需要AES256的情况下,可以利用-aesKey [AES key]选项。此外,获取的票据可以与各种工具一起使用,包括smbexec.py或wmiexec.py,从而扩大攻击范围。
遇到诸如_PyAsn1Error_或_KDC无法找到名称_的问题通常可以通过更新Impacket库或使用主机名而非IP地址来解决,确保与Kerberos KDC兼容。
使用Rubeus.exe的另一种命令序列展示了这种技术的另一个方面:
这种方法与Pass the Key方法类似,重点在于挪用和直接利用票据进行身份验证。值得注意的是,TGT请求的发起会触发事件4768: A Kerberos authentication ticket (TGT) was requested,默认情况下表示使用RC4-HMAC,尽管现代Windows系统更倾向于AES256。
为了符合运行安全性并使用AES256,可以应用以下命令:
您在网络安全公司工作吗?您想看到您的公司在HackTricks中做广告吗?或者您想访问PEASS的最新版本或下载PDF格式的HackTricks吗?请查看!
发现我们的独家
获取
加入 或 或 关注我的 Twitter 🐦.
通过向和提交PR来分享您的黑客技巧。
