Curiosidades De Hackers
ACTIVE DIRECTORY

Over pass the hash, pass the key


en este caso es con kerberos, cuando inciamos sesion, nuestra contraseña en plano se hashea y se almacena en memoria, kerberos va a esa zona para sacar el TGT o el servicio que sea, los hash mas utilizados son rc4, aes128 o aes256, rc4 es el mismo que cuando hacemos una autenticacion ntlm interactiva
msv1_0 es el paqeute de autenticacion NTLM

aqui hemos hecho un pass the hash con ntlm y nos a copiado el hash en ntlm y kerberos

y podemos ver que nos hemops podido autenticar kerberos al consultar DC01

solicitamos el TGT

y nos lo da

y como las claves de autenticacion del protocolo kerberos se cifran en memoria tambien podemos volcarlas

dandonos todas las claves que hayan sido introducidas en esa terminal

y nos da varias claves
la primera en forma aes256 y la segunda en rc4

kerberos usa aes256 pero como vimos anteriormente podemos forzarla para qeu use rc4

over pass the hash el hash es rc4 con ntlm

pass the key el hash es aes256 para kerberos

en linux tambien se pued ehacer con impacket por ejemplo

y nos guarda en TGT del usuario administrador en el archivo indicado