Ryt*_*tis 3 hash ntlm kerberos
我必须翻译这句话:“可疑的 overpass-the-hash 攻击(Kerberos)”,我找到了这篇关于 overpass-the-hash 的文章: https: //blog.stealthbits.com/how-to-detect-overpass-the -hash-attacks/在那里我发现了这句话:“我们不仅传递了哈希值,而且还超越了它!”。所以我将“传递哈希”理解为“传输哈希”,对吗?但“超过”又增加了什么?数量过多,跳转到另一个地方?
overpass-the-hash 中的“over”是指进一步采用传递哈希技术来获取有效的 Kerberos 票证。
通常,通过传递哈希,您可以使用来自受损用户帐户的 NT 哈希来直接以该用户身份向远程服务进行身份验证,方法是注入当前 Windows 用户的内存中或直接向客户端应用程序提供哈希接受它(例如CrackMapExec)。
通过 overpass-the-hash,您可以两次利用该 NT 哈希,现在代表该受感染的用户从 KDC 请求完整的 Kerberos TGT 或服务票证。此技术还打开了传递票证攻击向量,现在可以导出并重新注入伪造但有效(到期前)的 TGT/ST 以供将来使用并绕过与 KDC 的通信。由于它们紧密相连,因此 overpass-the-hash 和 pass-the-ticket 通常可以互换使用。
我同意许多搜索结果排名靠前的博客文章都没有清楚地解释 OPTH 的独特机制。如需更直接的解释,请查看Mimikatz 开发人员的“滥用 Kerberos ”白皮书。另请查看您引用的博客中链接的检测练习。