Curiosidades De Hackers
ACTIVE DIRECTORYWINDOWS

Pass the hash windows


https://learn.microsoft.com/es-es/windows/win32/secauthn/microsoft-ntlm

NTLM

  1. (Solo autenticación interactiva) Un usuario accede a un equipo cliente y proporciona un nombre de dominio, un nombre de usuario y una contraseña. El cliente calcula un hash criptográfico de la contraseña y descarta la contraseña real. que almacena en LSAS y descarta la contrasela normal
  2. El cliente(domain controler o usuario) envía el nombre de usuario al servidor (en texto no cifrado).
  3. El servidor genera un número aleatorio de 8 bytes, denominado desafío o nonce, y lo envía al cliente.
  4. El cliente cifra este desafío con el hash de la contraseña del usuario y devuelve el resultado al servidor. Esto se denomina respuesta.
  5. El servidor envía los tres elementos siguientes al controlador de dominio:
    • Nombre de usuario
    • Desafío enviado al cliente
    • Respuesta recibida del cliente
  6. El controlador de dominio usa el nombre de usuario para recuperar el hash de la contraseña del usuario de la base de datos administrador de cuentas de seguridad. Usa este hash de contraseña para cifrar el desafío.
  7. El controlador de dominio compara el desafío cifrado que calculó (en el paso 6) con la respuesta calculada por el cliente (en el paso 4). Si son idénticos, la autenticación se realiza correctamente.

crear logon sesion que sosbrescriva el hash de un usuario privilegiado

igual que en el caso anterios de volcado de crdenciales, supongamos que obtenemos el hass de un usuaruio privilegiado y no lo podemos romper, con mimikatz haremos un pass the hass


de esta manera siendo administradores de la maquina local vamos a sobrescribir el hash que tenga en memoria por el de administrador y vamos a copiar el token tambien


lo interesante de esta cmd, es que esta asociada a una logon session que tiene en memoria el usuario administrador.
Entonces nos abrirar una cmd, para autenticarse lo hara con el hash de administrador y podremos activar a los servicios que el administrador pueda acceder porque le hemos inyectado el hash de administrador al prceso de autenticacion NTLM.