Kerberos y ataques basados en LDAP
Kerberos es un protocolo de autenticación definido en RFC 4120 que Windows ha utilizado durante varios años. Kerberos también es utilizado por numerosas aplicaciones y otros sistemas operativos. El sitio web del Consorcio Kerberos proporciona información detallada sobre Kerberos en https://www.kerberos.org. Una implementación de Kerberos contiene tres elementos básicos:
- Cliente
- Servidor
- Centro de distribución clave ( KDC ), incluido el servidor de autenticación y el servidor de concesión de tickets
La Figura 5-4 ilustra los pasos en la autenticación Kerberos.
Figura 5-4 – Pasos en la autenticación de Kerberos

Los siguientes pasos se ilustran en la Figura 5-4:
Paso 1. El cliente envía una solicitud al servidor de autenticación dentro del KDC.
Paso 2. El servidor de autenticación envía una clave de sesión y un ticket de concesión de tickets ( TGT ) que se utiliza para verificar la identidad del cliente.
Paso 3. El cliente envía el TGT al servidor de concesión de tickets.
Paso 4. El servidor de concesión de tickets genera y envía un ticket al cliente.
Paso 5. El cliente presenta el ticket al servidor.
Paso 6. El servidor otorga acceso al cliente.
Active Directory utiliza el Protocolo de acceso de directorio ligero ( LDAP ) como protocolo de acceso. La implementación de Windows LDAP admite la autenticación Kerberos. LDAP utiliza una estructura jerárquica de árbol invertido llamada Árbol de información de directorio ( DIT ). En LDAP, cada entrada tiene una posición definida. El nombre distinguido ( DN ) representa la ruta completa de la entrada.
Uno de los ataques más comunes es el ataque con boleto dorado Kerberos. Un atacante puede manipular los tickets Kerberos en función de los hash disponibles comprometiendo un sistema vulnerable y obteniendo las credenciales de usuario local y los hash de contraseña. Si el sistema está conectado a un dominio, el atacante puede identificar un hash de contraseña Kerberos TGT ( KRBTGT ) para obtener el ticket dorado.
CONSEJO Empire es una herramienta popular que se puede utilizar para realizar boletos dorados y muchos otros tipos de ataques. Empire es básicamente un marco posterior a la explotación que incluye un agente de Windows PowerShell puro y un agente de Python. Más adelante aprenderá más sobre las metodologías posteriores a la explotación en este módulo. Con Empire, puede ejecutar agentes de PowerShell sin necesidad de usar powershell.exe. Puede descargar Empire y acceder a demostraciones, presentaciones y documentación en https://www.powershellempire.com. El ejemplo 5-13 muestra el módulo Empire Mimikatz golden_ticket, que se puede usar para realizar un ataque con boleto dorado. Cuando el módulo Empire Mimikatz golden_ticket se ejecuta contra un sistema comprometido, el ticket dorado se establece para el usuario utilizando el hash de contraseña KRBTGT.
Ejemplo 5-13 – La herramienta del imperio
(Empire) > **use module powershell/credentials/mimikatz/golden_ticket**
(Empire: powershell/credentials/mimikatz/golden_ticket) > **options**
Name: Invoke-Mimikatz Golden Ticket
Module: powershell/credentials/mimikatz/golden_ticket
NeedsAdmin: False
OpsecSafe: True
Language: powershell
MinLanguageVersion: 2
Background: True
OutputExtension: None
Authors:
@JosephBialek
@gentilkiwi
Description:
Runs PowerSploit's Invoke-Mimikatz function to generate a
golden ticket and inject it into memory.
Comments:
http://clymb3r.wordpress.com/ http://blog.gentilkiwi.com htt
ps://github.com/gentilkiwi/mimikatz/wiki/module-~-kerberos
Options:
Name Required Value Description
---- -------- ------ -----------
CredID False CredID from the store to use for ticket
creation.
domain False The fully qualified domain name.
user True Username to impersonate.
groups False Optional comma separated group IDs for the
ticket.
sid False The SID of the specified domain.
krbtgt False krbtgt NTLM hash for the specified domain.
sids False External SIDs to add as sidhistory to the
ticket.
id False id to impersonate, defaults to 500.
Agent True None Agent to run module on.
endin False Lifetime of the ticket (in minutes).
Default to 10 years.
(Empire: powershell/credentials/mimikatz/golden_ticket) >
Un ataque similar es el Ataque de boleto de plata Kerberos. Boletos de plata son tickets de servicio falsificados para un servicio determinado en un servidor en particular. El sistema de archivos de Internet común de Windows ( CIFS ) le permite acceder a archivos en un servidor en particular, y el servicio HOST le permite ejecutar schtasks.exe o Instrumentación de administración de Windows ( WMI ) en un servidor determinado. Para crear un ticket plateado, necesita la cuenta del sistema ( que termina en $ ), el identificador de seguridad ( SID ) para el dominio, el nombre de dominio totalmente calificado, y el servicio dado ( por ejemplo, CIFS, HOST ). También puede usar herramientas como Empire para obtener la información relevante de un vertedero de Mimikatz para un sistema comprometido.
Otra debilidad en las implementaciones de Kerberos es el uso de la delegación de Kerberos sin restricciones. La delegación de Kerberos es una característica que permite que una aplicación reutilice las credenciales del usuario final para acceder a los recursos alojados en un servidor diferente. Por lo general, debe permitir la delegación de Kerberos solo si finalmente se confía en el servidor de aplicaciones; sin embargo, permitir que pueda tener consecuencias negativas para la seguridad si se abusa de él, y, por lo tanto, la delegación de Kerberos no está habilitada de manera predeterminada en Active Directory.
