HackTricksOver Pass the Hash/Pass the Key
Reading time: 3 minutes
tip
Aprende y practica AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Apoya a HackTricks
- Revisa los planes de suscripci贸n!
- 脷nete al 馃挰 grupo de Discord o al grupo de telegram o s铆guenos en Twitter 馃惁 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a HackTricks y HackTricks Cloud repos de github.
Overpass The Hash/Pass The Key (PTK)
El ataque Overpass The Hash/Pass The Key (PTK) est谩 dise帽ado para entornos donde el protocolo NTLM tradicional est谩 restringido y la autenticaci贸n Kerberos tiene prioridad. Este ataque aprovecha el hash NTLM o las claves AES de un usuario para solicitar tickets Kerberos, lo que permite el acceso no autorizado a recursos dentro de una red.
Para ejecutar este ataque, el primer paso implica adquirir el hash NTLM o la contrase帽a de la cuenta del usuario objetivo. Al asegurar esta informaci贸n, se puede obtener un Ticket Granting Ticket (TGT) para la cuenta, lo que permite al atacante acceder a servicios o m谩quinas a los que el usuario tiene permisos.
El proceso se puede iniciar con los siguientes comandos:
python getTGT.py jurassic.park/velociraptor -hashes :2a3de7fe356ee524cc9f3d579f2e0aa7
export KRB5CCNAME=/root/impacket-examples/velociraptor.ccache
python psexec.py jurassic.park/velociraptor@labwws02.jurassic.park -k -no-pass
Para escenarios que requieren AES256, se puede utilizar la opci贸n -aesKey [AES key]. Adem谩s, el ticket adquirido puede ser empleado con varias herramientas, incluyendo smbexec.py o wmiexec.py, ampliando el alcance del ataque.
Los problemas encontrados como PyAsn1Error o KDC cannot find the name se resuelven t铆picamente actualizando la biblioteca Impacket o utilizando el nombre de host en lugar de la direcci贸n IP, asegurando la compatibilidad con el KDC de Kerberos.
Una secuencia de comandos alternativa utilizando Rubeus.exe demuestra otro aspecto de esta t茅cnica:
.\Rubeus.exe asktgt /domain:jurassic.park /user:velociraptor /rc4:2a3de7fe356ee524cc9f3d579f2e0aa7 /ptt
.\PsExec.exe -accepteula \\labwws02.jurassic.park cmd
Este m茅todo refleja el enfoque de Pass the Key, con un enfoque en apoderarse y utilizar el ticket directamente para fines de autenticaci贸n. Es crucial notar que la iniciaci贸n de una solicitud de TGT activa el evento 4768: A Kerberos authentication ticket (TGT) was requested, lo que significa un uso de RC4-HMAC por defecto, aunque los sistemas Windows modernos prefieren AES256.
Para conformarse a la seguridad operativa y usar AES256, se puede aplicar el siguiente comando:
.\Rubeus.exe asktgt /user:<USERNAME> /domain:<DOMAIN> /aes256:HASH /nowrap /opsec
Referencias
tip
Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apoya a HackTricks
- Revisa los planes de suscripci贸n!
- 脷nete al 馃挰 grupo de Discord o al grupo de telegram o s铆guenos en Twitter 馃惁 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a HackTricks y HackTricks Cloud repos de github.