👮‍♀Восстановление паролей из перехваченного трафика Kerberos👮‍♀ Внезапная заметка, которая может помочь вам незаметно получить учетные данные доменного пользователя без необходимости взаимодействия с контроллером домена💻 Представьте, что вы получили доступ к какому-то сетевому устройству (пусть это будет, например, PfSense), и у вас получилось его встроенными (или не совсем) средствами записать трафик, в котором вы позже нашли успешную Kerberos аутентификацию. Выглядеть она будет так, как показано на первом скриншоте😅 Для восстановления пароля пользователя нас интересует этап преаутентификации (AS-REQ), где передаётся зашифрованная секретом пользователя метка времени, которая и подвергнется атаке (а секрет считается из пароля этого пользователя). Для осуществления атаки подготавливаем среду. В качестве ОС я использую Kali, а средство, которое нам даст требуемые артефакты, — известное ПО для сетевой форензики NetworkMiner. Первым делом устанавливаем ПО на нашу ОС. Так как NetworkMiner разработан под Windows, для его запуска на Kali используем mono, который также нужно установить: sudo apt install -y mono-devel wget https://www.netresec.com/?download=NetworkMiner -O ./networkminer.zip unzip networkminer.zip mono NetworkMiner_2-9/NetworkMiner.exe --noupdatecheck После того, как мы успешно запустили NetworkMiner, импортируем туда файл с трафиком. Важно: NetworkMiner не умеет обрабатывать файлы с расширением .pcapng, поэтому перед импортом файла убедитесь, что он сконвертирован в нужный формат. Сделать это можно следующим образом: tshark -F pcap -r traffic.pcapng -w traffic.pcap После успешного открытия файла идём во вкладку Credentials, где видим извлеченные хэши в удобном для копирования формате (второй скриншот). Мы будем взламывать именно PreAuth-данные (krb5pa), поэтому правой кнопкой нажимаем на хэш в NetworkMiner и копируем его в буфер обмена. Далее дело за малым: записать его в файл и натравить HashCat или JtR для атаки: echo '$krb5pa$18$william.dupond$CATCORP.LOCAL$CATCORP.LOCALwilliam.dupond$fc8b...' > pa.hash sudo john --wordlist=/usr/share/wordlists/rockyou.txt pa.hash Результат успешной атаки можно наблюдать на третьем скриншоте. И это далеко не единственный случай, когда BlueTeam инструменты помогают красным командам достичь своих целей👽