HackTricks
Kerberos Kimlik Doğrulama
Tip
AWS Hacking’i öğrenin ve pratik yapın:
HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks'i Destekleyin
- abonelik planlarını kontrol edin!
- 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
- Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.
Check the amazing post from: https://www.tarlogic.com/en/blog/how-kerberos-works/
TL;DR (saldırganlar için)
- Kerberos, varsayılan AD auth protokolüdür; çoğu lateral-movement zinciri buna değinecektir. Pratik cheatsheet’ler (AS‑REP/Kerberoasting, ticket forging, delegation abuse, vb.) için bakınız: 88tcp/udp - Pentesting Kerberos
Güncel saldırı notları (2024‑2026)
- RC4 finally going away – Windows Server 2025 DCs artık RC4 TGT’leri vermiyor; Microsoft, RC4’ü AD DC’leri için varsayılan olarak devre dışı bırakmayı 2026 2. çeyrek sonuna kadar planlıyor. RC4’ü eski uygulamalar için yeniden etkinleştiren ortamlarda Kerberoasting için downgrade/fast‑crack fırsatları oluşur.
- PAC validation enforcement (Apr 2025) – Nisan 2025 güncellemeleri “Compatibility” modunu kaldırır; forged PACs/golden tickets, enforcement etkinleştirildiğinde yamalanmış DC’lerde reddedilir. Legacy/unpatched DC’ler kötüye kullanılmaya devam eder.
- CVE‑2025‑26647 (altSecID CBA mapping) – Eğer DC’ler yamalanmamışsa veya Audit modunda bırakıldıysa, non‑NTAuth CA’lara zincirlenmiş fakat SKI/altSecID ile eşlenmiş sertifikalar hâlâ oturum açabilir. Koruyucular tetiklendiğinde Events 45/21 görünür.
- NTLM phase‑out – Microsoft, gelecekteki Windows sürümlerini NTLM varsayılan olarak devre dışı olacak şekilde gönderecek (2026’ya kadar kademeli), bu da daha fazla auth’i Kerberos’a kaydıracak. Sertleştirilmiş ağlarda daha fazla Kerberos surface area ve daha katı EPA/CBT bekleyin.
- Cross‑domain RBCD remains powerful – Microsoft Learn, resource‑based constrained delegation’ın domains/forests arasında çalıştığını bildirir; resource nesnelerindeki yazılabilir
msDS-AllowedToActOnBehalfOfOtherIdentityhâlâ front‑end service ACLs’lerine dokunmadan S4U2self→S4U2proxy impersonation’a izin verir.
Hızlı araçlar
- Rubeus kerberoast (AES default):
Rubeus.exe kerberoast /user:svc_sql /aes /nowrap /outfile:tgs.txt— AES hash’lerini çıktı olarak verir; GPU cracking için plan yapın veya bunun yerine pre‑auth disabled kullanıcıları hedefleyin. - RC4 downgrade target hunting: RC4’ü hâlâ ilan eden hesapları
Get-ADObject -LDAPFilter '(msDS-SupportedEncryptionTypes=4)' -Properties msDS-SupportedEncryptionTypesile listeleyin; RC4 tamamen devre dışı kalmadan önce zayıf kerberoast adaylarını bulun.
References
- Microsoft – Beyond RC4 for Windows authentication (RC4 default removal timeline)
- Microsoft Support – Protections for CVE-2025-26647 Kerberos authentication
- Microsoft Support – PAC validation enforcement timeline
- Microsoft Learn – Kerberos constrained delegation overview (cross-domain RBCD)
- Windows Central – NTLM deprecation roadmap
Tip
AWS Hacking’i öğrenin ve pratik yapın:
GCP Hacking’i öğrenin ve pratik yapın:HackTricks'i Destekleyin
- abonelik planlarını kontrol edin!
- 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
- Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.