Kerbrute

Úvod a kontext

Kerbrute je v tomhle projektu důležitý hlavně jako velmi úzký a praktický nástroj pro jednu konkrétní otázku: které kandidátní identity v doméně skutečně existují. Neřeší exploitaci služby, negeneruje shell a typicky ani přímo neláme hesla. Jeho hodnota stojí v tom, že zredukuje šum ještě před tím, než začne AS-REP roast, password spray nebo jiný identitní krok.

Na Intelligence potvrdí uživatele získané z PDF metadat. V technickém článku Kerberos útoky z nulového přístupu je naopak dobře vidět, proč je to důležité metodicky: bez validních uživatelů je další kerberová práce jen zbytečný šum.

Co Kerbrute v praxi řeší

V AD řetězcích se velmi často dostanete do situace, kdy už máte:

• jména z veřejného webu,
• autory dokumentů,
• naming convention účtů,
• nebo jiný zdroj kandidátních identit.

To ale ještě neznamená, že tyto účty v doméně opravdu existují. Kerbrute je praktický právě proto, že umí ověřit jmenný prostor ještě před tím, než:

• spustíte AS-REP roast,
• zkusíte výchozí heslo,
• nebo uděláte úzký password spray.

Nejčastější scénáře využití v tomto projektu

Validace uživatelů z dokumentových metadat

Na Intelligence se z veřejných PDF nejdřív vytěží jména jako William.Lee nebo Jose.Williams. Samotná metadata ale nestačí. Prakticky důležité je teprve to, že se tyto kandidáty podaří potvrdit proti doméně:

./kerbrute_linux_amd64 userenum --dc intelligence.htb -d intelligence.htb Machines/Intelligence/users.txt

Výstup:

VALID USERNAME: William.Lee@intelligence.htb
VALID USERNAME: Jose.Williams@intelligence.htb

Tím se z OSINT stopy stává reálný identitní materiál pro další práci. Širší kontext této fáze je i v článku Dokumentová metadata jako vstup do domény.

Příprava podkladů pro AS-REP roast

Kerbrute je užitečný hlavně tím, že stojí před dalšími kerberovými technikami. V článku Kerberos útoky z nulového přístupu je to vidět velmi čistě:

• nejdřív vznikne kandidátní seznam,
• potom se jména validují,
• a teprve nad potvrzenými účty má smysl spustit GetNPUsers.py nebo testovat hesla.

To je velmi praktická lekce. Kerbrute sám ještě nic “nevyhraje”, ale dramaticky zlepší kvalitu dalších kroků.

Ověření naming convention místo slepé hrubé síly

Když se na veřejném webu objeví jména zaměstnanců nebo když metadata naznačí formát Jmeno.Prijmeni, není rozumné skočit rovnou na stovky online pokusů s hesly. Lepší je nejdřív potvrdit, že formát účtů sedí.

V tom je Kerbrute praktický:

• zkontroluje, zda je naming convention správná,
• vyřadí neexistující identity,
• a zúží prostor tak, aby další kroky byly přesnější a tišší.

Kdy je Kerbrute nejlepší volba

Největší smysl dává tehdy, když:

• už máte kandidátní user list,
• cíl je doménový kontroler nebo jiné AD prostředí,
• a další krok závisí na tom, zda účty skutečně existují.

To je přesně moment, kdy je validace cennější než hned zkoušet hesla. Pokud je user list špatně, další útoky budou zbytečně hlučné a méně přesné.

Co Kerbrute neumí vyřešit za vás

Kerbrute:

• neodhalí uživatele bez vstupního seznamu,
• neříká nic o oprávněních účtu,
• a sám nevytváří foothold.

Jeho praktická hodnota je přípravná. Když ale tahle příprava chybí, další práce s Kerberem bývá mnohem méně efektivní.

Nejčastější chyby při použití

Přeskok rovnou na roasting nebo spray

To je nejčastější metodická chyba. Pokud nejdřív neověříte, které identity opravdu existují, mícháte dohromady:

• špatné kandidáty,
• zbytečné požadavky,
• a horší interpretaci výsledků.

Záměna validního účtu za použitelného účtu

To, že uživatel existuje, ještě neznamená:

• že nemá Kerberos pre-auth,
• že má slabé heslo,
• nebo že otevře WinRM, SMB či jiný užitečný kanál.

Kerbrute tedy řeší jen první vrstvu identity workflow.

Příliš široký a špatně připravený seznam jmen

Nástroj má největší hodnotu tehdy, když kandidáti dávají smysl:

• z metadat,
• z veřejných jmen,
• z interních naming convention,
• nebo z jiné realistické stopy.

Nejčastější praktické scénáře

Veřejné dokumenty nebo web vydají kandidátní jména

To je Intelligence.

Je potřeba potvrdit naming convention před AS-REP roastem

To je přesně kontext článku Kerberos útoky z nulového přístupu a nepřímo i Sauny.

Potřebujete zúžit user list před dalším identitním krokem

Pak je Kerbrute mnohem užitečnější než okamžitý a hlučný test hesel.

Související články v projektu

• Rozbory: Intelligence, Sauna
• Techniky: Kerberos útoky z nulového přístupu, Dokumentová metadata jako vstup do domény

Co si odnést do praxe

• Kerbrute je praktický hlavně jako nástroj na validaci jmenného prostoru před dalšími kerberovými kroky.
• Největší hodnotu má tehdy, když už máte realistický kandidátní seznam uživatelů.
• Nejde o nástroj na foothold, ale o velmi důležitý přípravný krok, který zlevní a zpřesní všechno, co přijde po něm.

Další Související Články V Projektu

HTB Stroje

• Tentacle
• Sauna
• Resolute

Techniky

• Dokumentová metadata jako vstup do domény
• Kerberos útoky z nulového přístupu: AS-REP roast a práce s kandidátními uživateli
• NTLM coercion a vynucená autentizace

Nástroje

• enum4linux
• CrackMapExec
• Impacket pro AD enumeraci a první identity