Kerberoast
Tumia Trickest kujenga na kutumia workflows kwa kutumia zana za jamii ya juu zaidi duniani. Pata Ufikiaji Leo:
Kerberoast
Kerberoasting inazingatia upatikanaji wa TGS tickets, hasa zile zinazohusiana na huduma zinazofanya kazi chini ya akaunti za mtumiaji katika Active Directory (AD), zikiondoa akaunti za kompyuta. Ufichaji wa tiketi hizi hutumia funguo zinazotokana na nywila za mtumiaji, kuruhusu uwezekano wa kuvunja vibambo nje ya mtandao. Matumizi ya akaunti ya mtumiaji kama huduma inaonyeshwa na mali ya "ServicePrincipalName" isiyokuwa tupu.
Kwa kutekeleza Kerberoasting, akaunti ya kikoa inayoweza kuomba TGS tickets ni muhimu; hata hivyo, mchakato huu hauhitaji mamlaka maalum, hivyo inapatikana kwa yeyote mwenye vyeti halali vya kikoa.
Mambo Muhimu:
Kerberoasting inalenga TGS tickets kwa huduma za akaunti za mtumiaji ndani ya AD.
Tiketi zilizofichwa kwa kutumia funguo za nywila za mtumiaji zinaweza kuvunjwa nje ya mtandao.
Huduma inatambuliwa na ServicePrincipalName ambayo si tupu.
Hakuna mamlaka maalum inayohitajika, ni vyeti halali vya kikoa tu vinavyohitajika.
Shambulio
Zana za Kerberoasting kawaida huiomba RC4 encryption
wakati wa kutekeleza shambulio na kuanzisha maombi ya TGS-REQ. Hii ni kwa sababu RC4 ni dhaifu na rahisi kuvunja nje ya mtandao kwa kutumia zana kama Hashcat kuliko algoritimu nyingine za kufichua kama AES-128 na AES-256.
Vibambo vya RC4 (aina 23) huanza na $krb5tgs$23$*
wakati AES-256 (aina 18) huanza na $krb5tgs$18$*
`.
Linux
Vifaa vya multi-vipengele ikiwa ni pamoja na dump ya watumiaji wanaoweza kuroast:
Windows
Piga orodha ya watumiaji wanaoweza kuroastwa
Mbinu 1: Uliza TGS na itumbukize kutoka kumbukumbu
Mbinu 2: Zana za Kiotomatiki
Wakati TGS inapoombwa, Windows tukio 4769 - Tiketi ya huduma ya Kerberos ilitakiwa
inazalishwa.
Tumia Trickest kujenga na kutumia workflows kwa urahisi zinazotumia zana za jamii za juu kabisa duniani. Pata Ufikiaji Leo:
Kuvunja
Uthabiti
Ikiwa una ruhusa za kutosha juu ya mtumiaji unaweza kuifanya iwe inayoweza kuroastwa:
Unaweza kupata zana muhimu kwa mashambulizi ya kerberoast hapa: https://github.com/nidem/kerberoast
Ikiwa unapata kosa hili kutoka kwa Linux: Kerberos SessionError: KRB_AP_ERR_SKEW(Clock skew too great)
ni kwa sababu ya wakati wako wa eneo, unahitaji kusawazisha mwenyeji na DC. Kuna chaguzi chache:
ntpdate <IP ya DC>
- Imepitwa na wakati kuanzia Ubuntu 16.04rdate -n <IP ya DC>
Kupunguza Hatari
Kerberoasting inaweza kufanywa kwa kiwango kikubwa cha kificho ikiwa inaweza kuchexploit. Ili kugundua shughuli hii, tahadhari inapaswa kulipwa kwa Tukio la Usalama ID 4769, ambayo inaonyesha kuwa tiketi ya Kerberos imeombwa. Walakini, kutokana na mara kubwa ya tukio hili, vichujio maalum lazima viwekezwe ili kuisolate shughuli za shaka:
Jina la huduma isiwe krbtgt, kwani hii ni ombi la kawaida.
Majina ya huduma yanayoishia na $ yanapaswa kuepukwa ili kuepuka kujumuisha akaunti za mashine zinazotumiwa kwa huduma.
Maombi kutoka kwa mashine yanapaswa kufutwa kwa kutoa majina ya akaunti yaliyoandikwa kama machine@domain.
Ombi la tiketi lililofanikiwa pekee linapaswa kuzingatiwa, likitambuliwa na nambari ya kushindwa '0x0'.
Muhimu zaidi, aina ya kuchapisha tiketi inapaswa kuwa 0x17, ambayo mara nyingi hutumiwa katika mashambulizi ya Kerberoasting.
Kupunguza hatari ya Kerberoasting:
Hakikisha kuwa Nywila za Akaunti ya Huduma ni ngumu kudhanika, kupendekeza urefu wa zaidi ya herufi 25.
Tumia Akaunti za Huduma zilizosimamiwa, ambazo hutoa faida kama mabadiliko ya nywila moja kwa moja na Usimamizi ulioidhinishwa wa Jina la Kimsingi la Huduma (SPN), kuimarisha usalama dhidi ya mashambulizi kama hayo.
Kwa kutekeleza hatua hizi, mashirika yanaweza kupunguza kwa kiasi kikubwa hatari inayohusiana na Kerberoasting.
Kerberoast bila akaunti ya uwanjani
Mnamo Septemba 2022, njia mpya ya kutumia mfumo ilifunuliwa na mtafiti mmoja aliyeitwa Charlie Clark, aliyeshiriki kupitia jukwaa lake exploit.ph. Mbinu hii inaruhusu kupata Tiketi za Huduma (ST) kupitia ombi la KRB_AS_REQ, ambalo kwa kiasi kikubwa halihitaji udhibiti wowote juu ya akaunti yoyote ya Active Directory. Kimsingi, ikiwa mwakilishi amewekwa kwa njia ambayo haitaji uwakilishi wa awali - hali inayofanana na inayojulikana katika uwanja wa usalama wa mtandao kama shambulio la AS-REP Roasting - sifa hii inaweza kutumika kubadilisha mchakato wa ombi. Hasa, kwa kubadilisha sifa ya sname ndani ya mwili wa ombi, mfumo unadanganywa kutoa ST badala ya Tiketi ya Kutoa Tiketi iliyofichwa kawaida (TGT).
Mbinu hii imeelezewa kikamilifu katika makala hii: Machapisho ya blogi ya Semperis.
Unapaswa kutoa orodha ya watumiaji kwa sababu hatuna akaunti halali ya kuuliza LDAP kutumia mbinu hii.
Linux
Windows
Marejeo
Tumia Trickest kujenga na kutumia kiotomatiki mifumo ya kazi inayotumia zana za jamii za juu zaidi duniani. Pata Ufikiaji Leo:
Last updated