Kerberoast
Last updated
Last updated
Użyj Trickest, aby łatwo budować i automatyzować przepływy pracy zasilane przez najbardziej zaawansowane narzędzia społecznościowe na świecie. Uzyskaj dostęp już dziś:
Kerberoasting koncentruje się na pozyskiwaniu biletów TGS, szczególnie tych związanych z usługami działającymi pod konto użytkownika w Active Directory (AD), z wyłączeniem kont komputerów. Szyfrowanie tych biletów wykorzystuje klucze pochodzące z haseł użytkowników, co umożliwia łamanie poświadczeń offline. Użycie konta użytkownika jako usługi wskazuje na niepustą właściwość "ServicePrincipalName".
Aby wykonać Kerberoasting, niezbędne jest konto domenowe zdolne do żądania biletów TGS; jednak proces ten nie wymaga specjalnych uprawnień, co czyni go dostępnym dla każdego z ważnymi poświadczeniami domenowymi.
Kerberoasting celuje w bilety TGS dla usług kont użytkowników w AD.
Bilety szyfrowane kluczami z haseł użytkowników mogą być łamane offline.
Usługa jest identyfikowana przez ServicePrincipalName, który nie jest pusty.
Nie są potrzebne specjalne uprawnienia, tylko ważne poświadczenia domenowe.
Narzędzia Kerberoasting zazwyczaj żądają RC4 encryption
podczas przeprowadzania ataku i inicjowania żądań TGS-REQ. Dzieje się tak, ponieważ RC4 jest słabszy i łatwiejszy do złamania offline przy użyciu narzędzi takich jak Hashcat niż inne algorytmy szyfrowania, takie jak AES-128 i AES-256.
Hashe RC4 (typ 23) zaczynają się od $krb5tgs$23$*
, podczas gdy AES-256 (typ 18) zaczynają się od $krb5tgs$18$*
.`
Narzędzia wielofunkcyjne, w tym zrzut użytkowników podatnych na kerberoasting:
Enumeruj użytkowników podatnych na Kerberoasting
Technika 1: Poproś o TGS i zrzutuj go z pamięci
Technika 2: Narzędzia automatyczne
Gdy żądany jest TGS, generowane jest zdarzenie systemu Windows 4769 - Żądano biletu usługi Kerberos
.
Użyj Trickest, aby łatwo budować i automatyzować przepływy pracy zasilane przez najbardziej zaawansowane narzędzia społeczności. Uzyskaj dostęp już dziś:
Jeśli masz wystarczające uprawnienia nad użytkownikiem, możesz uczynić go kerberoastable:
Możesz znaleźć przydatne narzędzia do ataków kerberoast tutaj: https://github.com/nidem/kerberoast
Jeśli napotkasz ten błąd z systemu Linux: Kerberos SessionError: KRB_AP_ERR_SKEW(Clock skew too great)
, to z powodu lokalnego czasu, musisz zsynchronizować hosta z DC. Istnieje kilka opcji:
ntpdate <IP of DC>
- Przestarzałe od Ubuntu 16.04
rdate -n <IP of DC>
Kerberoasting może być przeprowadzany z wysokim stopniem dyskrecji, jeśli jest wykonalny. Aby wykryć tę aktywność, należy zwrócić uwagę na Identyfikator zdarzenia zabezpieczeń 4769, który wskazuje, że bilet Kerberos został zażądany. Jednak z powodu wysokiej częstotliwości tego zdarzenia, należy zastosować konkretne filtry, aby wyizolować podejrzane działania:
Nazwa usługi nie powinna być krbtgt, ponieważ jest to normalne żądanie.
Nazwy usług kończące się na $ powinny być wykluczone, aby uniknąć uwzględnienia kont maszynowych używanych do usług.
Żądania z maszyn powinny być filtrowane przez wykluczenie nazw kont sformatowanych jako machine@domain.
Tylko udane żądania biletów powinny być brane pod uwagę, identyfikowane przez kod błędu '0x0'.
Najważniejsze, typ szyfrowania biletu powinien być 0x17, który jest często używany w atakach Kerberoasting.
Aby zminimalizować ryzyko Kerberoasting:
Upewnij się, że hasła kont serwisowych są trudne do odgadnięcia, zaleca się długość większą niż 25 znaków.
Wykorzystaj Zarządzane Konta Serwisowe, które oferują korzyści takie jak automatyczne zmiany haseł i delegowane zarządzanie nazwą główną usługi (SPN), co zwiększa bezpieczeństwo przed takimi atakami.
Wdrażając te środki, organizacje mogą znacznie zmniejszyć ryzyko związane z Kerberoastingiem.
W wrześniu 2022 roku nowy sposób na wykorzystanie systemu został ujawniony przez badacza o imieniu Charlie Clark, udostępniony za pośrednictwem jego platformy exploit.ph. Metoda ta pozwala na pozyskanie Biletów Serwisowych (ST) za pomocą żądania KRB_AS_REQ, które w sposób niezwykły nie wymaga kontroli nad żadnym kontem Active Directory. Zasadniczo, jeśli główny podmiot jest skonfigurowany w taki sposób, że nie wymaga wstępnej autoryzacji—scenariusz podobny do tego, co w dziedzinie cyberbezpieczeństwa nazywa się atakiem AS-REP Roasting—ta cecha może być wykorzystana do manipulacji procesem żądania. Konkretnie, poprzez zmianę atrybutu sname w treści żądania, system jest oszukiwany do wydania ST zamiast standardowego zaszyfrowanego biletu przyznawania biletów (TGT).
Technika jest w pełni wyjaśniona w tym artykule: Post na blogu Semperis.
Musisz dostarczyć listę użytkowników, ponieważ nie mamy ważnego konta do zapytania LDAP przy użyciu tej techniki.
Użyj Trickest, aby łatwo budować i automatyzować przepływy pracy zasilane przez najbardziej zaawansowane narzędzia społecznościowe na świecie. Uzyskaj dostęp już dziś:
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)