Okunması gereken yazılar:
Overpass The Hash saldırısındaki amaç Active Directory kullanıcısına ait NTLM hash’i ile TGT bileti alarak, kullanıcının yetkisi dahilindeki servislere erişebilmektir.
Overpass The Hash saldırısını Impacket getTGT.py aracı ile gerçekleştirebilmekteyiz. GetTGT.py aracı ile daha önceden elde geçirdiğimiz NTLM hash’ini kullanarak TGT bileti alabilmekteyiz. NTLM hash’lerini ele geçirmeye yönelik birkaç kaynak:
- 4 Ways to Capture NTLM Hashes in Network
- Getting Creds via NTLMv2
- Places of Interest in Stealing NetNTLM Hashes
getTGT.py aracının kullanım syntax’ı aşağıdaki gibidir.
./getTGT.py DOMAIN/KULLANICI -hashes LM_HASH:NTLM_HASH
getTGT.py aracı TGT biletini dosyaya kaydetmektedir. Bu dosya yardımı ile shell alabilmekteyiz. Shell almak için PsExec, smbexec ve wmiexec gibi araçlardan yararlanabiliriz.
# export KRB5CCNAME=TGT_CCACHE_FILE
# psexec.py DOMAIN/KULLANICI@HOST_NAME -k -no-pass
Be First to Comment