“哈希传递”中的“ over”是什么意思?

时间:2019-04-05 09:03:05

标签: hash kerberos ntlm

我必须翻译这句话:“怀疑的哈希越过攻击(Kerberos)”,我发现了这篇有关哈希越过的文章:https://blog.stealthbits.com/how-to-detect-overpass-the-hash-attacks/我发现了这句话:“不仅我们只是通过哈希,我们就超过了!”。因此,我理解“传递哈希”与“传递哈希”对不对?但是“结束”增加了什么?数量过多,会跳到另一个地方吗?

2 个答案:

答案 0 :(得分:1)

作为一个示例,散列传递依赖于直接与DC交互以生成TGT或TGS票证。哈希传递等效于通过DC进行身份验证过程,但直接使用哈希。此过程的结果是,LSASS过程存储器现在包含由DC生成的DC认证的TGT或TGS。

哈希传递是将伪造的TGT或TGS直接写入当前登录用户的LSASS处理内存的直接操作,绕过身份验证或直接与DC交互。这里的关键是最终结果是将TGT或TGS写入当前登录用户的LSASS过程存储器,而从未与DC进行任何直接交互。并且由于该TGT由“ krbtgt”用户帐户哈希签名,或者TGS由目标服务的machine_account或service_account哈希签名,因此DC在验证TGT或TGS时将其视为有效。这是因为这些是验证任何一个的唯一敏感信息。

以下标题为“ * NIX Kerberos + MS Active Directory的乐趣和游戏”的文章http://passing-the-hash.blogspot.com/2016/06/nix-kerberos-ms-active-directory-fun.html至少在一定程度上进行了讨论。其他一点来自直接经验。

现在,我不能告诉您为什么选择的特定词是“结束”的,但是我可以告诉您这是两种方法之间的区别。我怀疑“过度”来自于获得DCT或TGS的DC头?玩得开心!

答案 1 :(得分:0)

“哈希传递”中的“溢出”是指将哈希传递技术更进一步以获取有效的Kerberos票证。

通常,通过散列,您可以使用受感染用户帐户中的NT散列,直接注入到当前Windows用户的内存中,或直接将散列提供给接受它的客户端应用程序(例如CrackMapExec)。

通过Over-the-hash,您可以两次利用该NT哈希,现在代表那个受感染的用户向KDC请求完整的Kerberos TGT或服务票证。此技术还打开了通过门票攻击媒介,现在可以将伪造但有效的(在到期之前)TGT / ST导出并重新注入以供将来使用,并绕过与KDC的通信。因为它们紧密相连,所以哈希交换和票务通票经常互换使用。

我同意,许多热门搜索结果博客文章并未明确说明OPTH的独特机制。有关更直接的解释,请查看Mimikatz开发人员的“ Abusing Kerberos”白皮书。还要在您引用的博客中结帐detection exercise