Комментарии 5
А откуда вы возьмете список пользователей, в таком случае? Перебором на каком-нибудь exhange? Или просто подставляя рандомный список?
Ну, способов хватает, начиная от банальных мисконфигов (тот же exchange, rpc), и заканчивая осинтом.
Ну просто вероятность выловить таким образом учетку, от имени которой запустили сервис мелковата... Обычно это всё-таки сервисные учетные записи, которые вряд ли в каком-то осинте всплывут... И за время поиска, скорее всего, найдется учетка с минимальными правами, чтобы выполнить по классическому пути..
Прекрасная статья! Спасибо, что вы разобрались в этой интересной теме. Я бы еще отметил, что возможно извлекать хеши из дампа сетевого трафика (раз статья про Kerberoasting без аутентификации в домене) и про релей на этап TGS-REQ (тулзы RITM от Tw1sm и RoastInTheMiddle от 0xe7)
Отличная статья!
В дополнение скажу что, если не изменяет память, этой атаке уже больше 1,5 лет. О чем упоминала в отличном видео на ютубе Академия Яндекса(Windows & AD). Также, есть крутая статья от Charlie Clark(New Attack Paths? AS Requested Service Tickets),где он описывает что манипуляция с полем sname в пакете TGS-REQ невозможна из-за проверки его контрольной суммы. А в пакете AS-REQ все req-body не защищено, в том числе и поле sname
Атака Kerberoasting без пароля пользователя — миф, или новая реальность?