HackTricks
Kerberos Authentication
Tip
AWS हैकिंग सीखें और अभ्यास करें:
HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाओं की जांच करें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
- हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।
शानदार पोस्ट देखें: https://www.tarlogic.com/en/blog/how-kerberos-works/
TL;DR for attackers
- Kerberos AD का डिफ़ॉल्ट auth प्रोटोकॉल है; अधिकांश lateral-movement chains इससे जुड़ेंगी। hands‑on cheatsheets (AS‑REP/Kerberoasting, ticket forging, delegation abuse, आदि) के लिए देखें: 88tcp/udp - Pentesting Kerberos
Fresh attack notes (2024‑2026)
- RC4 finally going away – Windows Server 2025 DCs अब RC4 TGTs issue नहीं करेंगे; Microsoft का प्लान है कि RC4 को AD DCs के लिए default के रूप में Q2 2026 के अंत तक disable कर दिया जाए। जो वातावरण legacy apps के लिए RC4 फिर से enable करते हैं, वे Kerberoasting के लिए downgrade/fast‑crack अवसर पैदा करते हैं।
- PAC validation enforcement (Apr 2025) – April 2025 अपडेट्स “Compatibility” मोड हटा देती हैं; forged PACs/golden tickets patched DCs पर reject हो जाएंगे जब enforcement enabled होगा। Legacy/unpatched DCs अभी भी abusable बने रहते हैं।
- CVE‑2025‑26647 (altSecID CBA mapping) – अगर DCs unpatched हैं या Audit mode में छोड़े गए हैं, तो non‑NTAuth CAs से chained प्रमाणपत्र जो SKI/altSecID के माध्यम से mapped हैं, फिर भी लॉग ऑन कर सकते हैं। सुरक्षा उपाय trigger होने पर Events 45/21 दिखाई देते हैं।
- NTLM phase‑out – Microsoft भविष्य के Windows releases NTLM को default रूप में disabled करके भेजेगा (2026 तक staged), जिससे और अधिक auth Kerberos पर जाएगा। हार्डन किए गए नेटवर्क में अधिक Kerberos surface area और कड़े EPA/CBT की उम्मीद रखें।
- Cross‑domain RBCD remains powerful – Microsoft Learn बताता है कि resource‑based constrained delegation domains/forests के across काम करती है; resource objects पर writable
msDS-AllowedToActOnBehalfOfOtherIdentityअभी भी S4U2self→S4U2proxy impersonation की अनुमति देता है बिना front‑end service ACLs को छुए।
Quick tooling
- Rubeus kerberoast (AES default):
Rubeus.exe kerberoast /user:svc_sql /aes /nowrap /outfile:tgs.txt— AES hashes आउटपुट करता है; GPU cracking की योजना बनाएं या इसके बजाय pre‑auth disabled users को लक्षित करें। - RC4 downgrade target hunting: enumerate उन accounts को जो अभी भी RC4 advertise करते हैं using
Get-ADObject -LDAPFilter '(msDS-SupportedEncryptionTypes=4)' -Properties msDS-SupportedEncryptionTypesताकि RC4 पूरी तरह disabled होने से पहले weak kerberoast candidates मिल सकें।
References
- Microsoft – Beyond RC4 for Windows authentication (RC4 default removal timeline)
- Microsoft Support – Protections for CVE-2025-26647 Kerberos authentication
- Microsoft Support – PAC validation enforcement timeline
- Microsoft Learn – Kerberos constrained delegation overview (cross-domain RBCD)
- Windows Central – NTLM deprecation roadmap
Tip
AWS हैकिंग सीखें और अभ्यास करें:
GCP हैकिंग सीखें और अभ्यास करें:HackTricks का समर्थन करें
- सदस्यता योजनाओं की जांच करें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
- हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।