3.Targeted Kerberoasting
1. abuse
1.1. 条件:
被控制的目标具有 GenericAll 、 GenericWrite 、WriteSPN WriteProperty 或 Validated-SPN 权限的对象时,可能会发生此类滥用
1.2. 原理
攻击者可以向该帐户添加 SPN( ServicePrincipalName )。一旦帐户拥有 SPN,就容易受到 Kerberoasting 攻击。这种技术被称为“Targeted Kerberoasting”
Info
Kerberoasting的原理:
- 攻击者模拟普通用户,向 DC 请求某个特定 SPN 的 TGS 票证
- DC 会用与该 SPN 关联的服务账户的密码哈希来加密这个 TGS 票证,并将其返回给攻击者(客户端)
- 攻击者收到这个加密的 TGS 票证后,可以在自己的机器上对它进行离线暴力破解或字典攻击,以恢复服务账户的明文密码
Targeted Kerberoasting
- 传统的 Kerberoasting 攻击者通常会扫描 Active Directory 中所有已存在的 SPN,并尝试破解它们的密码
- 定向 Kerberoasting 的特别之处在于,攻击者 主动 选择一个特定的目标账户(可能是某个高权限用户,或管理员账户),并为其 手动添加一个 SPN。这样做的目的是将一个原本没有暴露在 Kerberoasting 风险下的账户,变成一个可攻击的目标
1.3. 利用
1.3.1. 使用targetedKerberoast.py
targetedKerberoast.py -v -d "$DC_HOST" -u "$USER" -p "$PASSWORD"
后续使用 hashcat 进行爆破即可