آکادمی روزبه

در این مقاله به Pass-The-Hash میپردازیم که هکر با استفاده از آن تلاش میکند بین هاست ها حرکت کند . این حرکت با استفاده از پروتکل NTLM و بدون نیاز به پسورد کاربر انجام میگیرد.ابزاری که در این مقاله معرفی میگردد بنام (Ketshash) کمک موثری در کشف PTH است در این مثال به بحث Over-Pass-The-Hash (OPTH)نمیپردازیم

تعیین هویت بدون پسورد :

در هشی که مایکروسافت درویندوز استفاده میکند SALT  وجود ندارد لذا تمام پسورد های یکسان که با پروتکل NTLM  هش میشوند دارای هش یکسان است لذا اگر از روی هش یک کاربر به پسورد آن برسیم (برای مثال از طریق Rainbow Table ) پسورد تمام کاربرانی که هش آنها مشابه هش کشف شده است را داریم .

هنگام انجام تعیین هویت با NTLM  شماره رویداد 4624با لاگین تایپ 3 و Authentication Package NTLM (or by logon process name NtLmSsp)

در لاگ میافتد

شکل زیر

هنگام استفاده از روش PTH  دو راهکار مد نظر است :

تزریق هش پسوردی که داریم در LSAS.exe و بازکردن یک سشن با هش تزریق شده

استفاده از قسمتی از پروتکل NTLM  برای تعیین هویت با هش و ارسال دستور روی شبکه با پروتکلی نظیر SMB یا WMI

هرگاه استفاده از پسورد قبل از ارتباط NTLM را دیدید به آن کاری نداشته باشید

کانکشن های بی مشکل عبارتند از :

4768 – A Kerberos authentication ticket (TGT) was requested

4769 – A Kerberos service ticket (TGS) was requested

4648 – A logon was attempted using explicit credentials

4624 – An account was successfully logged on

Logon types: 2 (Interactive), 7 (Unlock), 10 (RemoteInteractive) or 11 (CachedInteractive).

به کدام ارتباطات NTLM شک کنیم :

هرگاه یک سشن با اکانت غیر قدرتمند از طریق ارتباط NTLM  ساخته شده بود

با کمک از این ابزار ، عملیات جستجو در لاگ ها برای یافتن ترتیبی که در فوق شرح داده شد را تسریع میبخشیم

https://github.com/cyberark/ketshash