Kerberoasting
Como obtener cuentas SPN
Descripción
El ataque Kerberoasting consiste en obtener los hashes NTLM de las cuentas de servicio SPN (Service Pricipal Names) mediante una cuenta válida en el dominio (cualquier cuenta).
Este ataque suele ser uno de los primeros ataques utilizados en un Red Team una vez se ha conseguido acceso a la red interna y se tiene un usuario del Domino.
El objetivo, en este caso, es realizar movimientos laterales, obteniendo los hashes de otros usuarios. Una vez se tengan los hashes, se crackearan y se podrá levar a cabo los movimientos laterales hasta llegar a Domain Admin. Objetivo principal en un Red Team.
Explicación
Un SPN es un identificador único para un servicio en una red que utiliza la autenticación Kerberos. Está compuesto de una clase de servicio, un nombre de host y, en ocasiones, un puerto. Los SPN de HTTP no requieren un puerto. En una red que utiliza la autenticación Kerberos, un SPN para el servidor se debe registrar en una cuenta de equipo integrada (como NetworkService o LocalSystem) o en una cuenta de usuario. Los SPN se registran automáticamente para las cuentas integradas. Sin embargo, al ejecutar un servicio en una cuenta de usuario de dominio, debe registrar manualmente el SPN para la cuenta que desea utilizar.
Dicho de otra forma, una cuenta de servicio o SPN, es una cuenta que utilizada para por servicio, como HTTP o MSSQL, para realizar una autenticación kerberos contra el dominio.
Esta cuenta de servicio suele estar asociada a una cuenta de usuario, objetivo en este caso del equipo red team, o una cuenta de equipo.
Explotación
La extracción de los hashes de las cuentas de dominio se puede llevar a cabo con varias herramientas: imapcket-GetUSerSPNs, Powershell Empire, Rubeus o Powershell de forma manual.
Impacket-GetUserSPNs
Crackear hash
Referencias
Last updated
