Kerberoast
Gebruik Trickest om maklik en outomatiese werksvloei te bou wat aangedryf word deur die wêreld se mees gevorderde gemeenskaplike gereedskap. Kry Toegang Vandag:
Kerberoast
Kerberoasting fokus op die verkryging van TGS-tikette, spesifiek dié wat verband hou met dienste wat onder gebruikersrekeninge in Active Directory (AD) werk, met uitsluiting van rekenaargebruikersrekeninge. Die versleuteling van hierdie tikette maak gebruik van sleutels wat afkomstig is van gebruiker wagwoorde, wat die moontlikheid van offline geloofsbriekkraak bied. Die gebruik van 'n gebruikersrekening as 'n diens word aangedui deur 'n nie-leë "ServicePrincipalName" eienskap.
Vir die uitvoering van Kerberoasting is 'n domeinrekening wat in staat is om TGS-tikette aan te vra noodsaaklik; hierdie proses vereis egter nie spesiale voorregte nie, wat dit toeganklik maak vir enigiemand met geldige domeinlegitimasie.
Sleutelpunte:
Kerberoasting teiken TGS-tikette vir gebruikersrekeningdienste binne AD.
Tikette wat versleutel is met sleutels van gebruiker wagwoorde kan offline gekraak word.
'n Diens word geïdentifiseer deur 'n ServicePrincipalName wat nie nul is nie.
Geen spesiale voorregte is nodig nie, net geldige domeinlegitimasie.
Aanval
Kerberoasting gereedskappe vra gewoonlik RC4-versleuteling
aan wanneer die aanval uitgevoer word en TGS-REQ-versoeke geïnisieer word. Dit is omdat RC4 swakker is en makliker offline gekraak kan word met gereedskappe soos Hashcat as ander versleutelingsalgoritmes soos AES-128 en AES-256.
RC4 (tipe 23) hasings begin met $krb5tgs$23$*
terwyl AES-256(tipe 18) begin met $krb5tgs$18$*
`.
Linux
Multi-funksie gereedskap insluitend 'n dump van kerberoastbare gebruikers:
Windows
Lys Kerberoastbare gebruikers op
Tegniek 1: Vra vir TGS en dump dit uit die geheue
Tegniek 2: Outomatiese gereedskappe
Wanneer 'n TGS aangevra word, word Windows-gebeurtenis 4769 - 'n Kerberos-dienskaartjie is aangevra
gegenereer.
Gebruik Trickest om maklik werkstrome te bou en outomatiseer wat aangedryf word deur die wêreld se mees gevorderde gemeenskapsinstrumente. Kry Toegang Vandag:
Kraak
Volharding
Indien jy genoeg regte oor 'n gebruiker het, kan jy dit kerberoastable maak:
Jy kan nuttige gereedskap vir kerberoast aanvalle hier vind: https://github.com/nidem/kerberoast
As jy hierdie fout vanaf Linux vind: Kerberos SessionError: KRB_AP_ERR_SKEW(Clock skew too great)
is dit as gevolg van jou plaaslike tyd, jy moet die gasheer synchroniseer met die DC. Daar is 'n paar opsies:
ntpdate <IP van DC>
- Verouderd vanaf Ubuntu 16.04rdate -n <IP van DC>
Versagting
Kerberoasting kan met 'n hoë graad van heimlikheid uitgevoer word as dit uitgebuit kan word. Om hierdie aktiwiteit op te spoor, moet aandag geskenk word aan Sekuriteitsgebeurtenis ID 4769, wat aandui dat 'n Kerberos-kaartjie aangevra is. Tog, as gevolg van die hoë frekwensie van hierdie gebeurtenis, moet spesifieke filters toegepas word om verdagte aktiwiteite te isoleer:
Die diensnaam moet nie krbtgt wees nie, aangesien dit 'n normale versoek is.
Diensname wat eindig met $ moet uitgesluit word om insluiting van rekenaarrekeninge wat vir dienste gebruik word, te voorkom.
Versoeke vanaf rekenaars moet gefiltreer word deur rekeningname wat geformateer is as rekenaar@domain uit te sluit.
Slegs suksesvolle kaartjieversoeke moet oorweeg word, geïdentifiseer deur 'n mislukkingskode van '0x0'.
Die belangrikste, die kaartjieversleutelingstipe moet 0x17 wees, wat dikwels in Kerberoasting aanvalle gebruik word.
Om die risiko van Kerberoasting te verminder:
Verseker dat Diensrekeningwagwoorde moeilik is om te raai, met 'n aanbeveling van 'n lengte van meer as 25 karakters.
Maak gebruik van Bestuurde Diensrekeninge, wat voordele soos outomatiese wagwoordveranderinge en gedelegerde Diensprinsipaalnaam (SPN) Bestuur bied, wat die sekuriteit teen sulke aanvalle verbeter.
Deur hierdie maatreëls te implementeer, kan organisasies die risiko wat met Kerberoasting geassosieer word aansienlik verminder.
Kerberoast sonder domeinrekening
In September 2022 is 'n nuwe manier om 'n stelsel te benut aan die lig gebring deur 'n navorser genaamd Charlie Clark, gedeel deur sy platform exploit.ph. Hierdie metode maak die verkryging van Dienskaartjies (ST) moontlik deur 'n KRB_AS_REQ versoek, wat opmerklik nie beheer oor enige Aktiewe Gids-rekening vereis nie. In wese, as 'n hoof so opgestel is dat dit nie voor-verifikasie vereis nie—'n scenario soortgelyk aan wat in die sibersekuriteitswêreld bekend staan as 'n AS-REP Roasting-aanval—kan hierdie eienskap benut word om die versoekproses te manipuleer. Spesifiek, deur die sname kenmerk binne die versoek se liggaam te verander, word die stelsel mislei om 'n ST uit te reik eerder as die standaard versleutelde Kaartjieverleningkaartjie (TGT).
Die tegniek word volledig verduidelik in hierdie artikel: Semperis blogpos.
Jy moet 'n lys van gebruikers voorsien omdat ons nie 'n geldige rekening het om die LDAP te ondervra deur hierdie tegniek te gebruik nie.
Linux
Windows
Verwysings
Gebruik Trickest om maklik te bou en werkstrome outomatiseer wat aangedryf word deur die wêreld se mees gevorderde gemeenskapshulpmiddels. Kry Vandag Toegang:
Last updated