HackTricks
Kerberos Authentication
Tip
AWS Hacking’i öğrenin ve pratik yapın:
HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks'i Destekleyin
- abonelik planlarını kontrol edin!
- 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
- Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.
Harika yazıyı inceleyin: https://www.tarlogic.com/en/blog/how-kerberos-works/
Saldırganlar için TL;DR
- Kerberos, varsayılan AD auth protokolüdür; çoğu lateral-movement zinciri buna değecektir. Pratik cheatsheet’ler (AS‑REP/Kerberoasting, ticket forging, delegation abuse, vb.) için: 88tcp/udp - Pentesting Kerberos
Güncel saldırı notları (2024‑2026)
- RC4 finally going away – Windows Server 2025 DC’leri artık RC4 TGT çıkarmıyor; Microsoft, Q2 2026 sonuna kadar AD DC’ler için RC4’ü varsayılan olarak devre dışı bırakmayı planlıyor. RC4’ü eski uygulamalar için yeniden etkinleştiren ortamlar, Kerberoasting için downgrade/fast‑crack fırsatları yaratır.
- PAC validation enforcement (Apr 2025) – Nisan 2025 güncellemeleri “Compatibility” modunu kaldırıyor; enforcement etkinleştirildiğinde yaması yapılmış DC’lerde sahte PAC’ler/golden ticket’lar reddedilir. Eski/yaması uygulanmamış DC’ler istismar edilebilir durumda kalır.
- CVE‑2025‑26647 (altSecID CBA mapping) – Eğer DC’ler yamalanmamış veya Audit modunda bırakılmışsa, non‑NTAuth CA’larına zincirlenmiş ancak SKI/altSecID ile eşlenmiş sertifikalar yine de oturum açabilir. Korumalar tetiklendiğinde Events 45/21 görünür.
- NTLM phase‑out – Microsoft, gelecek Windows sürümlerini NTLM varsayılan olarak devre dışı olacak şekilde (2026’ya kadar kademeli) dağıtacak; bu da daha fazla auth’ı Kerberos’a kaydıracak. Sertleştirilmiş ağlarda daha fazla Kerberos yüzeyi ve daha sıkı EPA/CBT bekleyin.
- Cross‑domain RBCD remains powerful – Microsoft Learn, resource‑based constrained delegation’ın domainler/forest’lar arası çalıştığını belirtiyor; resource nesnelerindeki yazılabilir
msDS-AllowedToActOnBehalfOfOtherIdentityhâlâ front‑end service ACL’larına dokunmadan S4U2self→S4U2proxy taklitine izin verir.
Hızlı araçlar
- Rubeus kerberoast (AES default):
Rubeus.exe kerberoast /user:svc_sql /aes /nowrap /outfile:tgs.txt— AES hashleri üretir; GPU cracking planlayın veya bunun yerine pre‑auth disabled kullanıcıları hedefleyin. - RC4 downgrade target hunting: RC4’ü hâlâ ilan eden hesapları
Get-ADObject -LDAPFilter '(msDS-SupportedEncryptionTypes=4)' -Properties msDS-SupportedEncryptionTypesile listeleyin; RC4 tamamen devre dışı kalmadan önce zayıf kerberoast adaylarını bulun.
Referanslar
- Microsoft – Beyond RC4 for Windows authentication (RC4 default removal timeline)
- Microsoft Support – Protections for CVE-2025-26647 Kerberos authentication
- Microsoft Support – PAC validation enforcement timeline
- Microsoft Learn – Kerberos constrained delegation overview (cross-domain RBCD)
- Windows Central – NTLM deprecation roadmap
Tip
AWS Hacking’i öğrenin ve pratik yapın:
GCP Hacking’i öğrenin ve pratik yapın:HackTricks'i Destekleyin
- abonelik planlarını kontrol edin!
- 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
- Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.