Kerberoasting con Kali Linux

 

 https://www.onlinetis.com/es/

Kerberoasting con Kali Linux

Kerberoasting es una de las técnicas más populares en auditorías de Active Directory porque permite extraer los hashes de las contraseñas de cuentas de servicio sin necesidad de enviar ni un solo paquete a la máquina víctima.

Aquí tienes una guía rápida para realizarlo desde Kali Linux.

1. El Concepto

El ataque aprovecha cómo funciona el protocolo Kerberos. Cualquier usuario autenticado puede solicitar un ticket de servicio (TGS) para cualquier servicio que tenga un Service Principal Name (SPN) registrado. La parte interesante es que ese ticket está cifrado con el hash de la contraseña de la cuenta de servicio.

2. Herramientas necesarias

En Kali, la suite más común para esto es Impacket. Viene preinstalada, pero si no, puedes obtenerla con sudo apt install python3-impacket.

Paso A: Enumeración y Extracción

Usaremos el script impacket-GetUserSPNs. Este comando busca cuentas con SPN, solicita los tickets y los guarda en un formato que podamos crackear.

Bash
impacket-GetUserSPNs -Extensiones -request -dc-ip <IP_DEL_DC> <DOMINIO>/<USUARIO>:<PASSWORD> -outputfile hashes.kerberoast

  • -request: Solicita el ticket TGS al servidor.

  • -outputfile: Guarda el hash en un archivo para no tener que copiarlo a mano.

Paso B: Crackeo del Hash (Offline)

Una vez que tienes el archivo hashes.kerberoast, el siguiente paso es romper la contraseña por fuerza bruta o usando un diccionario. Puedes usar Hashcat (más rápido por GPU) o John the Ripper.

Con Hashcat:

El código de modo para Kerberos 5 TGS-REP es el 13100.

Bash
hashcat -m 13100 hashes.kerberoast /usr/share/wordlists/rockyou.txt

3. Resumen del Flujo de Trabajo

PasoAcciónHerramienta
1. AccesoNecesitas credenciales de usuario normales.Reconocimiento previo
2. ConsultaListar cuentas que tengan un SPN.GetUserSPNs.py
3. ExtracciónSolicitar el ticket y volcarlo a un archivo.GetUserSPNs.py -request
4. CrackeoIntentar adivinar la clave de la cuenta de servicio.Hashcat o John

Tips Pro para Kali

  • Sin credenciales: Si tienes una sesión de usuario pero no la contraseña en texto claro, puedes usar el hash NT con el parámetro -hashes.

  • Detección: Ten en cuenta que, aunque es un ataque "silencioso", los EDR modernos y los SIEM monitorean el evento de Windows 4769 (Ticket de servicio solicitado) si ocurre de forma masiva en poco tiempo.

 

Dependiendo de cómo esté configurada la red (Active Directory), podrías encontrarte con diferentes tipos de cifrado en los tickets de Kerberos. El más común hoy en día es AES-256, que es mucho más lento de crackear que el antiguo RC4.

Aquí tienes los comandos específicos según el tipo de hash que hayas extraído:

1. Kerberos 5, TGS-REP (AES-256)

Este es el estándar en entornos modernos (Windows Server 2012 en adelante). Es un cifrado fuerte, por lo que la velocidad de "intentos por segundo" será menor.

  • Código Hashcat: 19700

  • Comando:

Bash
hashcat -m 19700 -a 0 hashes_aes256.txt /usr/share/wordlists/rockyou.txt

2. Kerberos 5, TGS-REP (RC4)

Si el entorno es antiguo o se ha forzado la compatibilidad hacia atrás, verás hashes que empiezan por $krb5tgs$23$. Estos son muy rápidos de crackear.

  • Código Hashcat: 13100

  • Comando:

Bash
hashcat -m 13100 -a 0 hashes_rc4.txt /usr/share/wordlists/rockyou.txt

3. AS-REP Roasting (AES-256)

Si no estás haciendo Kerberoasting (TGS), sino AS-REP Roasting (donde el usuario no requiere pre-autenticación), el hash es distinto.

  • Código Hashcat: 18200

  • Comando:

Bash
hashcat -m 18200 -a 0 asrep_hashes.txt /usr/share/wordlists/rockyou.txt

Tabla de Referencia Rápida

Tipo de AtaqueAlgoritmoPrefijo del HashModo Hashcat (-m)
KerberoastingRC4-HMAC$krb5tgs$23$13100
KerberoastingAES-256-CTS$krb5tgs$18$19700
AS-REP RoastingAES-256$krb5asrep$18$18200
AS-REP RoastingRC4$krb5asrep$23$18200 (Auto-detect)

Optimizando el rendimiento en Kali

Si estás usando una máquina virtual (VM), Hashcat irá lento porque usa el procesador (CPU). Si tienes acceso al host (metal real) con una tarjeta NVIDIA o AMD, usa siempre la versión de Windows o Linux directamente sobre el hardware.

Tip: Puedes añadir -O al comando para activar las "Optimized Kernels", lo que aumenta la velocidad a cambio de limitar un poco la longitud máxima de la contraseña.

 

Las reglas (Rules) son la verdadera magia de Hashcat. En lugar de simplemente probar cada palabra de tu diccionario tal cual, una regla toma cada palabra (ej. password) y le aplica transformaciones automáticamente (ej. P4ssw0rd2024!).

Esto es vital porque casi nadie usa una contraseña que esté exactamente en un diccionario, sino una variación.

1. La Regla de Oro: best64.rule

Esta regla viene preinstalada en Kali y es el punto de partida perfecto. Realiza las transformaciones más comunes: poner la primera letra en mayúscula, añadir números al final o cambiar letras por números (leet speak).

Comando:

Bash
hashcat -m 13100 hashes.txt /usr/share/wordlists/rockyou.txt -r /usr/share/hashcat/rules/best64.rule

  • -r: Indica la ruta al archivo de reglas.

2. Reglas más potentes (Nivel avanzado)

Si best64 no funciona, puedes subir el nivel de agresividad con estas otras reglas que también están en /usr/share/hashcat/rules/:

  • dive.rule: Una de las más exhaustivas. Prueba miles de combinaciones por cada palabra. (Cuidado: hace que el proceso sea mucho más lento).

  • generated2.rule: Excelente para contraseñas de empresas que suelen seguir patrones predecibles.

  • toggles1.rule: Prueba todas las combinaciones posibles de mayúsculas y minúsculas.

3. Cómo ver qué está haciendo la regla

Si tienes curiosidad por saber qué variaciones está generando Hashcat sin ejecutar el crackeo real, puedes usar el parámetro --stdout:

Bash
echo "admin" | hashcat -r /usr/share/hashcat/rules/best64.rule --stdout

Salida ejemplo:

  • admin123

  • Admin

  • 4dmin

  • ADMIN!

Comparativa de Eficiencia

ReglaComplejidadCuándo usarla
NingunaBajaSolo si crees que la clave es una palabra exacta.
best64.ruleMediaSiempre. Es el estándar de oro para empezar.
leetspeak.ruleMediaSi el objetivo es un perfil "tech" que cambia e por 3.
rockyou-30000.ruleAltaCuando tienes tiempo y el diccionario base es pequeño.

Un truco final: Combinar Diccionario + Máscara

Si sabes que la empresa suele poner el año al final (ej. Password2026), puedes usar un ataque híbrido (modo -a 6):

Bash
hashcat -m 13100 hashes.txt /usr/share/wordlists/rockyou.txt ?d?d?d?d

Esto añadirá 4 dígitos (?d) al final de cada palabra del diccionario.

Location: España

Entradas populares de este blog

Hacking y ciberseguridad en kali linux con Fping

Imagen
  www.onlinetis.com   Hacking y ciberseguridad en kali linux con Fping Fping es un programa similar a ping que utiliza la solicitud de eco del Protocolo de Mensajes de Control de Internet (ICMP) para determinar si un host objetivo responde. fping se diferencia de ping en que permite especificar cualquier número de objetivos en la línea de comandos o un archivo con las listas de objetivos a los que se hará ping. En lugar de enviar a un objetivo hasta que se agote el tiempo de espera o responda, fping envía un paquete de ping y pasa al siguiente objetivo mediante un sistema de turnos rotatorios. Como instalar:  sudo apt install fping fping Enviar paquetes ICMP ECHO_REQUEST a los hosts de la red   fping6 Compatibilidad con versiones anteriores de fping anteriores a la versión 4.0 El comando fping en Kali Linux es una utilidad de red que se utiliza para enviar paquetes de ICMP (Protocolo de mensajes de control de Internet) a varios hosts de forma simultánea. A diferen...
LEER MAS »

Hacking y ciberseguridad en kali linux con atk6-thcping6

Imagen
www.onlinetis.com Hacking y ciberseguridad en kali linux con atk6-thcping6 Parece que estás interesado en usar atk6-thcping6 en Kali Linux. Esta herramienta es parte del conjunto de utilidades thc-ipv6 , diseñado para probar las debilidades del protocolo IPv6. Para usar atk6-thcping6 , primero necesitas tener instalado el paquete thc-ipv6 . En la mayoría de las distribuciones de Kali, ya viene preinstalado, pero si no, puedes instalarlo con el siguiente comando: Bash sudo apt install thc-ipv6 Una vez que lo tienes instalado, la sintaxis básica para atk6-thcping6 es: Bash atk6-thcping6 <interface> <target> [opciones] Aquí está el desglose de los argumentos y opciones más comunes: <interface> : La interfaz de red que usarás para enviar el paquete. Por ejemplo, eth0 , wlan0 , etc. <target> : La dirección IPv6 del objetivo al que quieres hacer ping. [opciones] : Puedes usar varias opciones para modificar el comportamiento del ping. La mejor manera de ver todas la...
LEER MAS »

Como utilizar Fierce en kali linux

Imagen
  www.onlinetis.com   Como utilizar Fierce en kali linux Fierce es un escáner semiligero que ayuda a localizar direcciones IP no contiguas y nombres de host en dominios específicos. Está pensado como precursor de nmap, unicornscan, nessus, nikto, etc., ya que todos ellos requieren que se conozca previamente el espacio IP buscado. No realiza exploits ni escanea internet indiscriminadamente. Está diseñado específicamente para localizar objetivos probables tanto dentro como fuera de una red corporativa. Dado que utiliza principalmente DNS, es frecuente encontrar redes mal configuradas que filtran el espacio de direcciones interno. Esto es especialmente útil en malware dirigido. Originalmente escrito por RSnake y otros en http://ha.ckers.org/. Se trata simplemente de una conversión a Python 3 para simplificar y modernizar el código base. Como instalar: sudo apt install fierce Escáner DNS que ayuda a localizar espacios de IP no contiguos y nombres de host contra dominios específico...
LEER MAS »