Okunması gereken yazılar:
Kerberos protokolü authentication protokolü olduğundan brute force saldırıları ile kullanıcı hesaplarını bulabiliriz.
Kerberos hata mesajlarında kullanıcı adı ya da parolanın yanlış olduğunu belirtildiğinden daha rahat bir şekilde saldırımızı gerçekleştirebiliriz.
Brute force saldırısı sırasında kullanıcı hesapları bloklanabileceğinden dikkatli bir şekilde kullanılması gerekmektedir.
Kerberos pre-authentication hata mesajları Active Directory’de normal Logon failure event (4625)’te log’lanmadığından avantajlıdır.
Kerbrute aracı ile brute force saldırısını gerçekleştirebiliriz.
- -users: İçerisinde kullanıcı adı bulunan dosya
- -passwords: İçerisinde parolaların bulunduğu dosya
- -domain: Domain
- –dc-ip: Domain Controller’ın IP adresi
- -threads: Threads sayısı
Gerekli parametreleri verdiğimizde kerbrute aracı brute force ile kullanıcı adlarını ve parolalarını deneyerek bize geçerli kullanıcı adlarını/parolalarını verecektir.
Kerbrute aracı verdiğimiz wordlist’in içerisindeki kullanıcı adları ve parolaları ile giriş yapmayı deneyerek bize geçerli kullanıcı adlarını ve parolalarını çıktı olarak verdi.
Bu şekilde kerberos brute force saldırısını gerçekleştirmiş olduk.
KDC tarafından gelen isteklere bakarsak KRB_AS_REQ istekleri ile giriş denemelerinin yapıldığını görüyoruz.
Örnek pcap dosyasına buradan ulaşabilirsiniz.
Be First to Comment