我必须翻译这句话:“疑似 overpass-the-hash 攻击(Kerberos)”,我找到了这篇关于 overpass-the-hash 的文章:https://blog.stealthbits.com/how-to-detect-overpass -the-hash-attacks/ 在那里我发现了这句话:“我们不仅传递了哈希,而且还超越了它!”。所以我将“传递哈希”理解为“传输哈希”,对吗?但“超过”又增加了什么?数量过多,跳转到其他地方?
overpass-the-hash 中的“over”是指进一步采用 pass-the-hash 技术来获取有效的 Kerberos 票证。
通常,通过传递哈希,您可以使用来自受损用户帐户的 NT 哈希来直接以该用户身份向远程服务进行身份验证,方法是注入当前 Windows 用户的内存或直接向客户端应用程序提供哈希接受它(例如 CrackMapExec)。
通过 overpass-the-hash,您可以两次利用该 NT 哈希,现在代表该受感染的用户从 KDC 请求完整的 Kerberos TGT 或服务票证。该技术还打开了“pass-the-ticket”攻击向量,现在可以导出并重新注入伪造但有效(到期前)的 TGT/ST 以供将来使用并绕过与 KDC 的通信。因为它们紧密相连,所以 overpass-the-hash 和 pass-the-ticket 通常可以互换使用。 我同意许多搜索结果排名靠前的博客文章都没有清楚地解释 OPTH 的独特机制。如需更直接的解释,请查看 Mimikatz 开发人员的“
Abusing Kerberos”白皮书。另请查看您引用的博客中链接的检测练习。
举例来说,传递哈希依赖于直接与 DC 交互以生成 TGT 或 TGS 票证。 Pass-the-hash 相当于通过 DC 进行身份验证过程,但直接使用哈希。此过程的结果是 LSASS 进程内存现在包含由 DC 生成的 DC 认证的 TGT 或 TGS。在以下标题为“*NIX Kerberos + MS Active Directory 乐趣和游戏”的文章中至少部分讨论了这一点,
http://passing-the-hash.blogspot.com/2016/06/nix-kerberos -ms-active-directory-fun.html
。其他部分来自直接经验。现在,我无法告诉你为什么选择的具体措辞是“结束”,但我可以告诉你,这就是两种方法之间的区别。我怀疑“over”来自于为了获得TGT或TGS而越过DC的头?玩得开心!
中的“OVER”视为高速公路立交桥,驶过 KDC 的身份验证服务器并直接前往票据授予服务。 您不是首先将哈希值提供给身份验证服务器,而是“越过”AS
并将其提供给TGS。 这张来自英特尔的图片很好地说明了
身份验证流程。