VCS-CTF Vòng loại CT01

Quan sát tổng quan gói tin thông qua Statistics -> Protocol Hierarchy/Conversations phán đoán rằng các user có thể bị tấn công thông qua giao thức kerberos.

Tiến hành filter theo giao thức kerberos nhận thấy phía server (10.10.5.1) liên tục đưa ra phản hồi lỗi xác thực kerberos. Từ đây có thể suy ra rằng attacker đang thực hiện tấn công bruteforce thông qua dịch vụ xác thực của kerberos.

Xem xét các gói tin KRB Error, một số gói tin khác biệt hơn hẳn với mã error-code là 25, tức eRR-PREAUTH-REQUIRED được trả về. Trong tấn công bruteforce kerberos, ở đây là AS-REPRoasting, khi bật Pre-Authentication, dịch vụ xác thực (AS) sẽ từ chối các yêu cầu không có thông tin xác thực và phản hồi với lỗi ERR-PREAUTH-REQUIRED (25). Điều này cũng vô tình tiết lộ những user này thực sự có ở trên hệ thống.

Kết hợp với địa chỉ ip attacker là 10.10.5.102 (10.10.5.100 là user người dùng được loại ra) thì chúng ta sẽ có được danh sách các user bị tấn công và lộ username.