Pass-The-Hash Toolkit -naco lamat heslo, ked staci hash
What is Pass-The-Hash Toolkit?The Pass-The-Hash Toolkit contains utilities to manipulate the Windows Logon Sessions mantained by the LSA (Local Security Authority) component. These tools allow you to list the current logon sessions with its corresponding NTLM credentials (e.g.: users remotely logged in thru Remote Desktop/Terminal Services), and also change in runtime the current username, domain name, and NTLM hashes (YES, PASS-THE-HASH on Windows!).uz dlho o tejto technike viem ale prvy krat vidim nastroj, s ktorym to funguje
Takže "ukradená session podstrčeným pravým hashem"?
ano, ALE:
- IMHO neúčinné na NTLMv2 (defacto dnešní standard, v defaultu je NTLM myslím jestli ne už disablovaná, tak minimálně nastavena až jako poslední varianta autentikace)
- domény užívají kerberos autentikace, která používá časové razítko
Samozřejmě se mohu mýlit, tuto problematiku sleduju jen okrajově.
funguje to aj pri NTLMv2(pri tomto type autentifikacie sa tiez vychadza z NT hash-u)
kerberos ma byt implementovany v buducnosti:
-Add support for other auth methods (kerberos, etc).. in the works..
no to bych rád věděl jak chtějí implementovat KRB, když hash obsahuje časové razítko...
stejně tak "pravý" NTLMv2 obsahuje časové razítko, tedy útok lze IMHO provést jen těsně po odchycení původního paketu, kdy ještě platí původní razítko. Samozřejmě problém může být degradace NTLMv2 na starší NTLM nebo dokonce jen LM, případě, že ho některý z komunikujících neumí.
Jak říkám - v tomto ohledu jsem jen "znalý laik"
lenze tento program nerobi nijake odchytavanie paketov, v podstate iba nahradi v pamati hash aktualne prihlaseneho uzivatela s potrebnym hash-om, potom vsetko prebieha ako normalne, len session sa vytvori pomocou noveho hash-u