Kerberoasting
kerberos通信过程:
在TGS-REQ中会发出ST服务票据获取servicePrincipalName(SPN),该SPN是用户或者机器用户注册的。TGS-REP中TGS会返回给user一个ST,而ST是由user请求的server的密码进行加密的,我们可以从TGS-REP中提取加密的服务票证来进行离线解密。
在本地安全策略中将kerberos允许的加密类型改为RC4加密:
在运行更新策略:
SPN扫描
请求票据
powershell请求
Add-Type -AssemblyName System.IdentityModel New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "SqlServer/mssql.redteam.local:1434/SqlServer"
Rubeus.exe
Rubeus原理为现在LDAP查询SPN,再发送TGS包,再打印出hash,可以使用hashcat等进行爆破。
导出票据
mimikatz导出票据
离线破解
使用tgsrepcrack.py
