התקפות קרברוס

פוסט זה הוא המשך לפוסט של ההסבר על תהליך האונטיקציה של קרברוס ניתן לחזור אליו כאן

וקטורי תקיפה

Kerberoasting

מתקפה בה מנצלים את התגובה של הTGS שמוצפנת עם המפתח של השירות (Secret Key) שמורכב מהhash של הסיסמה השייכת למשתמש של השירות. לאחר שאנחנו משיגים את הhash אנחנו יכולים לנסות לפרוץ אותו offline בעזרת hashcat\john.

דוגמאות לכלים:

• Kerberoasting

  .\Rubeus.exe kerberoast /outfile:hashes.txt

  impacket-GetNPUsers <domain>/<username> -dc-ip <ip-address> -request

• Hash cracking

  hashcat -m 13100 -a 0 <hashes> <wordlist>

AS-REP roasting

מתקפה בה מנצלים משתמשים שההגדרה לpre-authentication מבוטלת.
זאת אומרת, ברגע שההגדרה מבוטלת כאשר משתמש מבקש להזדהות מול ה AS תוקף לא צריך להשתמש בסיסמה לאימות ראשוני.
ולכן הוא יכול להזדהות עם איזה שם משתמש כרצונו ויקבל בתגובה מהAS את הTGT מוצפן עם המפתח של המשתמש (Secret key) שמורכב מהhash של הסיסמה השייכת למשתמש.

דוגמאות לכלים:

• AS-REP roasting
  

  .\Rubeus.exe asreproast /outfile:asrep.txt

  impacket-GetNPUsers <domain>/<username> -dc-ip <ip-address> -no-pass

• Hash cracking

  hashcat -m 18200 -a 0 <hashes> <wordlist>

תחזוק הגישה לדומיין

Silver Ticket

כאשר המשתמש מבצע אוטנטיקציה אל מול הAS הוא מקבל בחזרה כרטיס TGT.
לאחר שהוא מקבל את הTGT, המשתמש שולח אותו בחזרה לTGS.
הTGS מצבע אימות ומחזיר את הכרטיס לסשן מוצפן עם הNTLM Hash שזה הסיסמה של השירות.
אך מה אם היה לנו את הסיסמה של השירות בעזרת Kerberoasting או בכל צורה אחרת? היינו יכולים ליצור כרטיס בעצמנו ופשוט להצפין אותו בעזרת הNTLM Hash של השירות. ה

Golden Ticker