Пример атак Kerberoasting и AS-REP Roasting

Пример Kerberoasting AS-REP Roasting

В этой небольшой статье, в рамках прохождения уязвимой виртуальной машины Rebound с площадки Hack The Box, я продемонстрирую пример атаки Kerberoasting.

Еще по теме: Kerbrute для атаки на Active Directory

Итак, мы получили список поль­зовате­лей и можем пос­пре­ить самые популяр­ные пароли и про­верив AS-REP Roasting.

Пример атаки AS-REP Roasting

Смысл ата­ки AS-REP Roasting в том, что атакующий отправляет на сер­вер аутен­тифика­ции ано­ним­ный зап­рос для пре­дос­тавле­ния целевому поль­зовате­лю дос­тупа к какой‑либо услу­ге. На что сер­вер име­ет 3 раз­ных отве­та:

  • пре­дос­тавля­ет билет, отку­да мы возь­мем хэш;
  • от­веча­ет, что у этого поль­зовате­ля не выс­тавлен флаг PreauthNotRequired;
  • го­ворит, что такого поль­зовате­ля не существует в базе Kerberos.

Сделать это мож­но с помощью все того же CrackMapExec.

Ре­зуль­тат про­веде­ния ата­ки AS-REP Roasting
Ре­зуль­тат про­веде­ния ата­ки AS-REP Roasting

Итак, в домене есть один поль­зователь, для которо­го не тре­бует­ся пред­варитель­ная аутен­тифика­ции Kerberos, и мы получа­ем хеш его пароля. Для бру­та пароля в hashcat ука­зыва­ем режим 18200 (параметр -m) используя при этом словарь rockyou.txt.

Пе­ребор хеша с использование hashcat никаких резуль­татов не дал.

Пример атаки Kerberoasting

Ре­али­зация про­токо­ла Kerberos в Windows исполь­зует име­на учас­тни­ков служ­бы (SPN) для опре­деле­ния того, какую учет­ную запись задей­ство­вать для шиф­рования билета служ­бы. В Active Directory сущес­тву­ет два вари­анта SPN: SPN на осно­ве хос­та и про­изволь­ные SPN. Пер­вый вари­ант SPN свя­зан с учет­ной записью компь­юте­ра домена, а вто­рой обыч­но (но не всег­да) — с учет­кой поль­зовате­ля домена (см. также Атака Kerberoasting).

Про­ще говоря, если зап­рошен билет, он шиф­рует­ся паролем учет­ной записи, SPN которая его пре­дос­тавила. Так, если мы получим билет, мы можем его прос­то проб­рутить, что­бы получить пароль учет­ки! Хотя для это­го и нуж­но прой­ти аутен­тифика­цию, но мы можем взять поль­зовате­ля с прош­лого эта­па, для которо­го она не тре­бует­ся. В этом вари­анте выпол­нить ата­ку мож­но с помощью Rubeus, для чего перей­дем в вир­туал­ку с Windows.

Ре­зуль­тат выпол­нения ата­ки Kerberoasting
Ре­зуль­тат выпол­нения ата­ки Kerberoasting

По­луча­ем хеши поль­зовате­лей ldap_monitor и delegator$, которые сра­зу отправ­ляем на брут в hashcat.

Ре­зуль­тат взло­ма хешей
Ре­зуль­тат взло­ма хешей

По­луча­ем пароль для учет­ки ldap_monitor. Наш единс­твен­ный пароль спре­им по осталь­ным учет­кам и получа­ем еще одну валид­ную пару из логина и пароля — для поль­зовате­ля oorend.

Ре­зуль­тат спрея пароля
Ре­зуль­тат спрея пароля

Теперь перейдем к сбору дан­ные для BloodHound.

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий