Kerberoast/Kerberoasting:攻击与检测

最新推荐文章于 2024-06-28 17:56:43 发布
最新推荐文章于 2024-06-28 17:56:43 发布
阅读量2.1k 收藏 3
点赞数 1
分类专栏: 内网渗透 Windows 文章标签: 内网渗透 域安全 网络安全 红队
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ping_Pig/article/details/108937898
版权

讲在前面:

Kerberoasting攻击手法在域渗透中是必不可缺的一项手法,它可以帮助你利用普通用户的权限在AD中提取到服务账户的凭据,又因为一般的服务账户密码策略可能较为薄弱或密码设置为永不过期等等。所以当攻击者拿到服务凭据后,花不了多大功夫就将其暴力破解了。

注意:

Windows系统默认的服务已经映射到AD中的计算机账户中,该类账户具有关联的128个字符的密码,破解起来相对费劲。针对这个问题我们需要了解如下两个协议,当在这里我们只能简单的介绍

Kerberos协议及其通信过程

这里我们来简单而又快速的了解Kerberos协议及其通信过程

  1. AS-REP:客户端向KDC中心发起验证请求,请求内容内容为客户端Hash加密的时间戳等数据
  2. AS-REQ:KDC响应请求,使用以存储的客户端Hash解密AS_REP数据包,如果验证成功,那么就返回使用krbtgt加密的TGT票据,TGT内包含PAC,PAC包含客户端所在的组,sid等
  3. TGS-REP:客户端拿到TGT后向KDC发起针对特定服务的TGS-REQ请求
  4. TGS-REQ:KDC接受到请求后,使用krbtgt hash进行解密,如果结果正确,那么就返回使用服务hash加密的TGS票据(这一步不管客户端有无访问服务的权限,只要TGT正确,就返回TGS)
  5. AS-REP:客户端拿着TGS请求特定服务
  6. AS-REQ:服务使用自己的hash解密TGS票据,如果解密正确,就拿着PAC去KDC问客户端有无权限,域控解密PAC,查询客户端的ACL并将结果返回给服务端,服务端根据权限来判断是否返回数据给客户端。

SPN协议

该协议的介绍,笔者在之前的文章已经做了文章——“SPN协议”。在此笔者不做过多赘述,这里介绍Kerberoasting和SPN和Kerberos的联系。

我们发现在Kerberos协议进行到第四步的时候,不管客户端有无权限,只要TGT正确,就返回TGS票据,而恰恰巧的是,域内任何的用户都可以向域内的任何服务请求TGS,再加上TGS的生成是使用服务账户的hash进行RC4-HMAC算法加密,站在利用的角度,我们是可以尝试使用强大的字典进行暴力破解票据的。

因此,高效率的利用思路如下:

  1. 查询SPN,找到有价值的SPN,需要满足以下条件:
    • 该SPN注册在域用户帐户(Users)下
    • 域用户账户的权限很高
  2. 请求TGS
  3. 导出TGS
  4. 暴力破解

使用setspn或powerview(powershell模块Active Directory 需要提前安装,域控制器一般会安装,也可自行安装)等工具

import-module .\Microsoft.ActiveDirectory.Management.dll

 查询SPN:

setspn -q */*

Get-NetUser -spn

使用以下PowerShell命令来请求RC4加密的Kerberos TGS服务票证:

请求指定TGS

$SPNName = 'VNC/DC1.test.com'
Add-Type -AssemblyNAme System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList $SPNName

请求所有TGS

Add-Type -AssemblyName System.IdentityModel  
setspn.exe -q */* | Select-String '^CN' -Context 0,1 | % { New-Object System. IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList $_.Context.PostContext[0].Trim() }

执行后输入klist查看内存中的票据,可找到获得的TGS

导出TGS

使用minikatz:

kerberos::list /export

或者使用empire的kerberoast模块或者使用PowerSploit中的Invoke-Kerberoast组件

破解

使用tgsrepcrackck.py开始离线密码破解,或者使用kirbi2john.py从原始票据中提取可破解的哈希格式 ,这儿也有go的版本

https://github.com/nidem/kerberoast/blob/master/tgsrepcrack.py

./tgsrepcrack.py wordlist.txt test.kirbi

 缓解Kerberoasting

站在防御的角度,不可能阻止kerberoast,但可以缓解:

  • 确保服务账户的密码长于25个字符并且满足复杂要求
  • 定期修改服务的相关联的域用户的密码
  • 配置日志以检测Kerberoasting活动

配置日志以检测Kerberoasting活动

在域控的高级安全审核策略中,开启账户登录中的“审核Kerberos服务票证操作”来记录Kerberos TGS服务票据的请求情况。

开启后会记录一下两个事件:

  • 4769:已请求Kerberos服务票证(TGS)
  • 4770:已更新Kerberos服务票证

不过也会造成一定的日志冗余,因为在用户初始登录时、在用户访问域内某些服务时,事件4769会被记录很多次。不过相对5136这样的筛选日志平台连接的日志来说也不算太多。

所以我们可以针对域内某些发起多次Kerberos请求的用户进行监控,从而来检测Kerberboasting活动,不过我们也要对日志进行筛选,根据漏洞特征来看我们只针对加密类型为RC4的,而日志里显示给我们看的就是如下:

  • 票证选项:0x40810000
  • 票证加密:0x17

同时使用DES加密的也不安全,所以我必须检测同时满足这几个条件的或者满足其中某一条的,我们就可以更加精准的通过日志来检测了

再者,我们也可以通过创建Kerberoast服务账户蜜罐,通过蜜罐来防御,也可以同时根据相应的漏洞的打法制定相应的检测规则来进行防御。

 

 

 

 

 

 

 

 

 

Ping_Pig
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网渗透(六十一)之Kerberosating攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-30 1646
Kerberosating攻击发生在Kerberos协议的TGS_REP阶段,KDC的TGS服务返回一个由服务Hash 加密的ST给客户端。由于该ST是用服务Hash进行加密的,因此客户端在拿到该ST后可以用于本地离线爆破。如果攻击者的密码字典足够强大,则很有可能爆破出SPN链接用户的明文密码。如果该服务在内被配置为高权限运行,那么攻击者可能接管整个。整个过程的核心点在于,攻击者和KDC协商ST加密的时候,协商的是使用RC4_HMAC_MD5加密算法。
Kerberoasting攻击
无心的博客
09-28 3075
前面我们介绍了《Windows本地认证》、《Windows网络认证》、《Windows认证》和《SPN扫描》,这次继续讲解内相关的东西。 0x01介绍 当发布Windows 2000和Active Directory时,微软打算在 Windows NT 和Windows 95 上也支持Active Directory,这意味着不仅会产生各种各样的安全问题也会导致更多不安全的配置方式。同时,也意...
Kerberoasting 攻击
最新发布
-
06-28 27
原文:https://juggernaut-sec.com/kerberoasting/ 原文发布日期:发布2022年3月11日/更新2023年11月30日
Kerberosating攻击
2401_85027544的博客
06-19 591
Kerberosating攻击发生在Kerberos协议的TGS_REP阶段,KDC的TGS服务返回一个由服务Hash 加密的ST给客户端。由于该ST是用服务Hash进行加密的,因此客户端在拿到该ST后可以用于本地离线爆破。如果攻击者的密码字典足够强大,则很有可能爆破出SPN链接用户的明文密码。如果该服务在内被配置为高权限运行,那么攻击者可能接管整个。整个过程的核心点在于,攻击者和KDC协商ST加密的时候,协商的是使用RC4_HMAC_MD5加密算法。
渗透-Kerberoasting Attack
whojoe的博客
05-28 566
渗透-Kerberoasting Attack一、概述二、Kerberoasting攻击流程三、请求服务票据PowershellmimikatzGetUserSPNs查看票据是否申请成功klistMimikatzMSFRiskySPN导出票据mimikatzkerberoastGet-TGSCipher破解票据重写服务票据&RAM注入后门利用参考文章 一、概述 黑客可以使用有效的用户的身份验证票证(TGT)去请求运行在服务器上的一个或多个目标服务的服务票证。DC在活动目录中查找SPN,并使用与S
Kerberoasting学习
mingyqf的博客
02-24 827
Author: Shu1L Link: https://shu1l.github.io/2020/08/05/kerberosating-gong-ji-xue-xi/ 前言 Kerberoasting攻击是Tim Medin在DerbyCon 2014 上发布的一种口令攻击方法,Tim Medin同时发布了 配套的攻击工具kerberoast。此后,不少研究人员对Ker beroasting进行了改进和扩展,在GitHub上开发发布了 大量工具,使得Kerberoasting逐渐发展成为攻击的常用方法
Kerberoast检测Kerberoast检测脚本
02-09
威胁参与者可以使用称为Kerberoasting的策略滥用kerberos协议来恢复与服务帐户相关的密码 在Kerberoasting威胁行为者滥用有效的Kerberos票证授予票证的情况下,它通过Microsoft Active-Directory中的任何有效服务...
kerberoast:Kerberoast攻击-纯python-
05-03
Kerberos攻击工具包-纯python- 安装 pip3 install kerberoast 前提条件 Python 3.6参见requirements.txt 对于急躁的人 重要说明:LDAP和Kerberos可接受的目标URL格式如下<ldap> : <protocol>+<auth>://<domain>\...
最后的防线!高级渗透攻击的分析与检测.pdf
09-11
【高级渗透攻击的分析与检测】 在网络安全,尤其是企业环境中,高级渗透攻击是对组织安全性的严重威胁。这些攻击通常由经验丰富的黑客执行,旨在深入渗透到目标网络内部,控制关键系统,并可能造成数据泄露...
使用修改后的KDC选项和加密类型绕过Kerberoast检测.zip
03-23
使用修改后的KDC选项和加密类型绕过Kerberoast检测
PyPI 官网下载 | kerberoast-0.0.7-py3-none-any.whl
02-08
资源来自pypi官网,解压后可用。 资源全名:kerberoast-0.0.7-py3-none-any.whl
不推荐使用SharpRoast是各种PowerView的Kerberoasting功能的C#端口。-.NET开发
05-27
该项目现已弃用。 它的功能已通过“ kerberoast”动作并入Rubeus,该动作提供了正确的ASN.1结构解析。 SharpRoast SharpRoast是各种Powe的C#端口。此项目现已弃用。 它的功能已通过“ kerberoast”动作并入Rubeus,该动作提供了正确的ASN.1结构解析。 SharpRoast SharpRoast是各种PowerView的Kerberoasting功能的C#端口。 KerberosRequestorSecurityToken.GetRequest Method()方法由@machosec贡献给PowerView。 哈希以hashcat格式输出。 @ harmj0y是此端口的主要作者。 SharpRoast已获得BSD 3条款许可
渗透之Kerberoasting
Longwaer
01-27 751
学习内渗透小技巧,了解掌握kerberoasting的攻击原理,从而实现获取明文密码。
Kerberoasting——渗透
include_voidmain的博客
03-30 410
0x01 前言 前一阵刚刚写了kerberos协议的原理,就是为了给后续的几篇文章做一下铺垫,保证大家都能看懂,尽量以简要的话术来描述,欢迎翻阅前面的文章进行查看。 0x02 Kerberoasting Kerberoasting 是一种在请求访问服务时利用 Kerberos 协议中的弱点的技术。 首先会看以下kerberos认证的流程: Client想要访问Server的服务时,先要向AS发送能够证明自己身份的验证 验证通过后AS会给Client发送一个TGT 随后Client再向TGS去验证
hackthebox - active (考点: smb 利用 & kerberoasting)
冬萍子癸水
05-11 620
1 扫描 nmap常规扫,88的kerberos想到,跟hackthebox这台考的靶机forest 有类似处了。139&445想到smb利用。389 ldap想到可能有ldap扫描。 389提示domian是active.htb。我们也先把自己的/etc/hostsdns地址加上10.10.10.100 active.htb方便可能的关联。 Not shown: 986 closed ports PORT STATE SERVICE VERSION 88/tcp o
深入理解 Kerberoasting 攻击
qq_31812157的博客
03-11 596
是一种允许攻击者窃取使用RC4加密的KRB_TGS票证的技术,以暴力破解应用程序服务HASH来获取其密码Kerberos使用所请求服务的NTLM哈希来加密给定服务主体名称 (SPN) 的KRB_TGS票证。当用户向控制器KDC发送针对已注册SPN的任何服务的TGS 票证请求时,KDC会生成KRB_TGS攻击者可以离线使用例如hashcat来暴力破解服务帐户的密码,因为该票证已使用服务帐户的NTLM 哈希进行了加密。Kerberoasting攻击主要步骤如下1.发现SPN服务。
高级渗透技术之再谈Kerberoast攻击
systemino的博客
05-05 1347
Rebeus是一个用C#编写Kerberos 滥用工具包,最初是由@gentilkiwi编写的Kekeo工具包中的一个端口,这个工具包从那时起就在不断发展。要了解更多关于 Rubeus 的信息,请查看"从 Kekeo 到 Rubeus"这篇文章后续的"Rubeus ——Now With More keo"或最近修订的Rubeus README.md。 我最近对 Rubeus 做了一些改进...
渗透-SPN与kerberoast攻击
m0_58596609的博客
11-15 1935
一:SPN服务主体名称 SPN(ServicePrincipal Names)服务主体名称,是服务实例(比如:HTTP、MSSQL、MySQL等服务)的唯一标识符。 1.1:SPN介绍 Kerberos认证过程使用SPN将服务实例与服务登录账户相关联,如果想使用 Kerberos 协议来认证服务,那么必须正确配置SPN。如果在整个林或中的计算机上安装多个服务实例,则每个实例都必须具有自己的 SPN。如果客户端可能使用多个名称进行身份验证,则给定服务实例可以具有多个SPN。SPN 始终包含运行..
内网渗透:详解kerberoast攻击
A_991128a的博客
07-29 482
上篇文章介绍了kerberos的协议的认证流程以及可能出现的安全问题,也简要说了一下kerberoast攻击,本篇文章就具体介绍一下kerberoasting具体原理以及如何进行操作。关于内网相关的文章已经发了两篇了,大家感兴趣的话可以找以前的文章看一下,后面会继续出关于内网方面的知识。内网渗透:Kerberos认证协议安全性分析内网横移:抓取管理员密码首先再来回顾一下Kerberoast协议的认证过程。kerberoast认证过程算上PAC可以说有四个个阶段。如下图所示。
Kerberoast攻击的另一种姿势
weixin_34293911的博客
09-20 209
本文讲的是Kerberoast攻击的另一种姿势,大约在两年前,Tim Medin提出了一种新的攻击技术,他称之为“Kerberoasting”。尽管在这种攻击技术发布时我们还没有意识到其全部的含义,但这种攻击技术已经改变了我们的交战游戏。最近,Kerberoasting受到越来越多的关注,@mubix发布了以Kerberoasting为主题的三篇连载系列...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值