HackTricks
Kerberos Autentifikacija
Tip
Učite i vežbajte AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Pogledajte odličan post od: https://www.tarlogic.com/en/blog/how-kerberos-works/
TL;DR za napadače
- Kerberos je podrazumevani AD autentifikacioni protokol; većina lateral-movement lanaca će se oslanjati na njega. Za praktične cheatsheets (AS‑REP/Kerberoasting, ticket forging, delegation abuse, itd.) pogledajte: 88tcp/udp - Pentesting Kerberos
Sveže beleške o napadima (2024‑2026)
- RC4 konačno odlazi – Windows Server 2025 DCs više ne izdaju RC4 TGTs; Microsoft planira da onemogući RC4 kao podrazumevano za AD DCs do kraja Q2 2026. Okruženja koja ponovo omogućavaju RC4 za legacy apps stvaraju downgrade/fast‑crack mogućnosti za Kerberoasting.
- PAC validation enforcement (Apr 2025) – April 2025 updates uklanjaju “Compatibility” mode; forged PACs/golden tickets bivaju odbijeni na patched DCs kada je enforcement uključen. Legacy/unpatched DCs ostaju abuzabilni.
- CVE‑2025‑26647 (altSecID CBA mapping) – Ako su DCs nepatechnuti ili ostavljeni u Audit modu, sertifikati povezani na non‑NTAuth CA-e ali mapirani preko SKI/altSecID i dalje mogu da se prijave. Pojavljuju se Events 45/21 kada zaštite intervenišu.
- NTLM phase‑out – Microsoft će isporučiti buduće Windows verzije sa NTLM onemogućenim po defaultu (postepeno do 2026), preusmeravajući više autentifikacije na Kerberos. Očekujte veću Kerberos površinu i strožiji EPA/CBT u ojačanim mrežama.
- Cross‑domain RBCD ostaje moćan – Microsoft Learn navodi da resource‑based constrained delegation radi preko domena/šuma; writable
msDS-AllowedToActOnBehalfOfOtherIdentityna resource objektima i dalje dozvoljava S4U2self→S4U2proxy impersonaciju bez menjanja front‑end service ACLs.
Brzi alati
- Rubeus kerberoast (AES default):
Rubeus.exe kerberoast /user:svc_sql /aes /nowrap /outfile:tgs.txt— outputs AES hashes; planirajte GPU cracking ili ciljanje pre‑auth disabled korisnika umesto toga. - RC4 downgrade target hunting: enumerišite naloge koji i dalje reklamiraju RC4 sa
Get-ADObject -LDAPFilter '(msDS-SupportedEncryptionTypes=4)' -Properties msDS-SupportedEncryptionTypesda locirate slabe kerberoast kandidate pre nego što RC4 bude potpuno onemogućen.
References
- Microsoft – Beyond RC4 for Windows authentication (RC4 default removal timeline)
- Microsoft Support – Protections for CVE-2025-26647 Kerberos authentication
- Microsoft Support – PAC validation enforcement timeline
- Microsoft Learn – Kerberos constrained delegation overview (cross-domain RBCD)
- Windows Central – NTLM deprecation roadmap
Tip
Učite i vežbajte AWS Hacking:
Učite i vežbajte GCP Hacking:Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.