Pass-The-Hash Toolkit -naco lamat heslo, ked staci hash

What is Pass-The-Hash Toolkit?The Pass-The-Hash Toolkit contains utilities to manipulate the Windows Logon Sessions mantained by the LSA (Local Security Authority) component. These tools allow you to list the current logon sessions with its corresponding NTLM credentials (e.g.: users remotely logged in thru Remote Desktop/Terminal Services), and also change in runtime the current username, domain name, and NTLM hashes (YES, PASS-THE-HASH on Windows!).uz dlho o tejto technike viem ale prvy krat vidim nastroj, s ktorym to funguje

Zdroj: http://oss.coresecurity.com/projects/pshtoolkit.htm

Předmět	Autor	Datum
Chápu správně, že tímhle je možné změnit přihlášenému uživateli heslo v podstatě na jaké chci? ::) MaSo 12.08.2008 15:35	MaSo	12.08.2008 15:35
nie, pomocou tohoto nastroja sa mozes prihlasit po sieti do vzdialenej masiny, ak poznas meno a hash… nový mkmt 12.08.2008 16:05	mkmt	12.08.2008 16:05
Česky by to nešlo? :-/ nový Kurt 12.08.2008 16:37	Kurt	12.08.2008 16:37
Takže "ukradená session podstrčeným pravým hashem"? nový kmochna 12.08.2008 17:07	kmochna	12.08.2008 17:07
ano, ALE: - IMHO neúčinné na NTLMv2 (defacto dnešní standard, v defaultu je NTLM myslím jestli ne u… nový touchwood 12.08.2008 17:39	touchwood	12.08.2008 17:39
147706 WinXP Home SP2- defaut nastaveno: Level 0 - Send LM response and NTLM response; never use NT… nový kmochna 12.08.2008 17:49	kmochna	12.08.2008 17:49
Bavme se o normálním OS a ne o nějakých Home variacích ;-) Pokud to tam není nastaveno jako výchozí,… nový Jan Fiala 12.08.2008 19:24	Jan Fiala	12.08.2008 19:24
funguje to aj pri NTLMv2(pri tomto type autentifikacie sa tiez vychadza z NT hash-u) kerberos ma by… nový mkmt 13.08.2008 08:56	mkmt	13.08.2008 08:56
no to bych rád věděl jak chtějí implementovat KRB, když hash obsahuje časové razítko... stejně tak… nový touchwood 13.08.2008 20:36	touchwood	13.08.2008 20:36
lenze tento program nerobi nijake odchytavanie paketov, v podstate iba nahradi v pamati hash aktualn… poslední mkmt 13.08.2008 21:03	mkmt	13.08.2008 21:03

Chápu správně, že tímhle je možné změnit přihlášenému uživateli heslo v podstatě na jaké chci?

nie, pomocou tohoto nastroja sa mozes prihlasit po sieti do vzdialenej masiny, ak poznas meno a hash(LM a NT) uzivatela pod ktorym sa chces prihlasit

//edit

samozrejme musi ist o uzivatela, ktory na vzdialenej masine existuje

Česky by to nešlo?

Takže "ukradená session podstrčeným pravým hashem"?

ano, ALE:

- IMHO neúčinné na NTLMv2 (defacto dnešní standard, v defaultu je NTLM myslím jestli ne už disablovaná, tak minimálně nastavena až jako poslední varianta autentikace)
- domény užívají kerberos autentikace, která používá časové razítko

Samozřejmě se mohu mýlit, tuto problematiku sleduju jen okrajově.

147706

WinXP Home SP2- defaut nastaveno:
Level 0 - Send LM response and NTLM response; never use NTLMv2 session
security
v cestě: HKEY_LOCAL_MACHINE\System\CurrentControlSet\contro l\LSA

Tak ti teda nevím co si o tom myslet.

Bavme se o normálním OS a ne o nějakých Home variacích
Pokud to tam není nastaveno jako výchozí, je pravděpodobné, že k nastavení dojde při připojení počítače do domény

funguje to aj pri NTLMv2(pri tomto type autentifikacie sa tiez vychadza z NT hash-u)

kerberos ma byt implementovany v buducnosti:

-Add support for other auth methods (kerberos, etc).. in the works..

no to bych rád věděl jak chtějí implementovat KRB, když hash obsahuje časové razítko...

stejně tak "pravý" NTLMv2 obsahuje časové razítko, tedy útok lze IMHO provést jen těsně po odchycení původního paketu, kdy ještě platí původní razítko. Samozřejmě problém může být degradace NTLMv2 na starší NTLM nebo dokonce jen LM, případě, že ho některý z komunikujících neumí.

Jak říkám - v tomto ohledu jsem jen "znalý laik"

lenze tento program nerobi nijake odchytavanie paketov, v podstate iba nahradi v pamati hash aktualne prihlaseneho uzivatela s potrebnym hash-om, potom vsetko prebieha ako normalne, len session sa vytvori pomocou noveho hash-u

Zpět na aktuality Přidat komentář k aktualitě Nahoru