AS-REPRoasting

最新推荐文章于 2023-05-25 17:21:28 发布
最新推荐文章于 2023-05-25 17:21:28 发布
阅读量1.2k 收藏
点赞数
分类专栏: 内网渗透 漏洞经验 文章标签: 内网安全 信息安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ping_Pig/article/details/108941458
版权

讲在前面:

最近笔者发布的几篇文章,大家不难发现,都是和kerberos协议相关的。国内外各类的研究员对于该协议的研究愈发的深入,从该协议产生的漏洞就会越来越多甚至越来越严重。当然这只是笔者的一点拙见。

在介绍了Kerberoasting后,与其分不开的一个漏洞AS-REPRoasting我们也要介绍一下。当然,该漏洞依然要建立在受害用户没有使用强壮的符合复杂策略的密码前提下。同时也要强调该漏洞并没有Kerberoasting出彩

简介:

对于域用户,如果设置了选项”Do not require Kerberos preauthentication(不要求kerberos预身份认证)”,此时向域控制器的88端口发送AS-REQ请求,对收到的AS-REP内容重新组合,能够拼接成”Kerberos 5 AS-REP etype 23”(18200)的格式,接下来可以使用hashcat对其破解,最终获得该用户的明文口令,但默认情况下,该选项不会开启。

利用条件:

  • 你当前的用户拥有对目标用户GenericWrite / GenericAll权限
  • 用户密码可能较为薄弱

进行Kerberos预身份验证的原因是为了防止离线密码猜测。尽管AS-REP 票证本身已使用 服务密钥(在本例中为krbtgt哈希)进行了加密,但AS-REP“已加密部分”却使用客户端密钥(即我们为其发送AS-REQ的用户密钥)进行了加密 。如果启用了不要求kerberos预身份认证,则攻击者可以为开启该选项的用户发送AS-REQ,从而获得指定用户的AS-REP并进行离线爆破。

查询满足条件的用户

使用powerview

寻找满足条件的用户(LDAP查询满足条件(userAccountControl:1.2.840.113556.1.4.803:=4194304))

开启选项

Set-DomainObject -Identity test2 -XOR @{userAccountControl=4194304} -Verbose

注意:
开启和关闭都为同一条命令,命令本身执行的异或操作,两次异或等于未修改原数值。

导出hash

使用ASREPRoast.ps1

注意:笔者这里使用该ps1脚本在实验环境中并未能提取到hash,所以使用的Rubeus

Rubeus.exe asreproast

离线破解

拼接成hashcat能够识别的格式需要在$krb5asrep后面添加$23,hashcat使用字典破解的参数如下:

hashcat -m 18200 'hash' /temp/pwd.txt -o found.txt --force

缓解措施

  • 确保域内不存在开启”Do not require Kerberos preauthentication”的用户
  • 域用户强制使用复杂口令,提高被字典和暴力破解的难度

Ping_Pig
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AS-REP Roasting攻击
谢公子的博客
03-29 2300
首先,关闭hack2用户的 Kerberos预身份验证。 然后使用 Rubeus执行如下命令 Rubeus.exe asreproast 然后使用hashcat进行爆破
AAS-V9.0.zip
04-15
包含AAS-V9.0下载及试用说明
域渗透-AS-REP Roasting攻击
yy
03-25 1304
AS-REP Roasting是一种对域用户账号hash进行离线爆破的攻击方式。但是该攻击方式利用比较局限,因为其需要用户账号设置 "Do not require Kerberos preauthentication(不需要kerberos预身份验证) "。而该属性默认是没有勾选上的。预身份验证是Kerberos身份验证的第一步(AS_REQ & AS_REP),它的主要作用是防止密码脱机爆破。默认情况下,预身份验证是开启的,KDC会记录密码错误次数,防止在线爆破。
域渗透之AS-REP Roasting
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-13 540
攻击者可以使用指定的用户去请求票据,向域控制器发送AS_REQ请求,此时域控会不作任何验证便将 TGT 票据和加密的 Session-key 等信息返回。因此攻击者就可以对获取到的加密 Session-key 进行离线破解,如果爆破成功,就能得到该指定用户的明文密码。
内网渗透(六十)之AS-REP Roasting攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-30 1244
AS-REP Roasting是一种针对用户账户进行离线爆破的攻击方式。但是该攻击方式使用上比较受限,因为其需要用户账户设置“不要求Kerberos预身份验证”选项。而该选项默认是没有勾选的。Kerberos域身份验证发生在Kerberos身份验证的第一阶段(AS_REQ&AS_REP),它的主要作用就是防止密码离线爆破。默认情况下,预身份验证是开启的,KDC会记录密码错误的次数,防止在线爆破。
集权攻击-无权限条件下AD域凭据获取与利用分析
ZAWX_NETSTARSEC的博客
05-25 1058
我们简单回顾服务票据的请求流程,当域内用户去请求域内某个服务资源时,先会通过AS-REQ进行身份认证,通过后会返回TGT给用户,用户使用TGT发起TGS请求,KDC会返回一个用对应服务账户的Hash加密的服务票据。那么如果我们有一个域用户的凭据可以正常申请TGT,就可以申请指定服务的TGS票据,因该票据使用服务账户的Hash进行加密,当获取到加密后的TGS票据后,即可根据离线爆破得到服务账户的密码,这样请求服务账号票据进行离线爆破的攻击手法叫做Kerberoasting。而该属性默认是没有勾选上的。
CNAS-CL01-G001:2018《CNAS-CL01《检测和校准实验室能力认可准则》应用要求》.pdf
04-21
CNAS-CL01-G001:2018《CNAS-CL01《检测和校准实验室能力认可准则》应用要求》.pdf
AAS-V9.0用户手册.pdf
07-13
金蝶中间件(Apusic V9.0)用户手册
IEEE 8021AS-2020.pdf
09-10
gPTP
AAS-V10.0用户手册.pdf
07-13
金蝶中间件(Apusic V10.0)用户手册
AS-REP Roasting与Kerberoasting利用
qq_18811919的博客
03-03 336
讲解里AS-REP Roasting与Kerberoasting相关配置过程与相关利用方式
域渗透技术解析:Roasting AS-REP
systemino的博客
07-02 947
去年11月,我发表了一篇名为"没有 Mimikatz 的 Kerberoast 攻击利用"的文章,详细介绍了PowerView和Tim Medin提出的Kerberoasting 攻击的最新研究进展。这使我开始更仔细地研究 Kerberos。 几周前,我的同事Lee Christensen发现Exumbra Operations的Geoff Janjua做了一个有趣的演讲,题为"武器化 Kerbe...
kerberos 认证之AS_REQ与AS_REP
04-11 1523
简述 kerberos 的第一步请求与KDC的返回报文一共关注与两个问题,第一是验证“你是你”,既验证访问客户端的身份,证明你是你,第二个则是提供下一步请求的凭证。 AS_REQ 用户向KDC发起AS_REQ,请求凭据是用户 hash加密的时间戳。请求凭据放在PA_DATA里面。详情见以下每个字段的详细介绍 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cMHUQQ38-1618106536162)(9AF2DB007AAD4C98A9AE0DE4BA9BEDF8)] 同
PowerShell攻击与检测
Ping_Pig的博客
11-02 4203
讲在前面 这篇文章相对目前的大环境来说,已经不合时宜了,但我们还是要拿出来讲一讲,思考思考Powershell的攻击与检测问题。以期望给目前国内的中小企业的网络安全建设提供一些建议。 Powershell作为工具的演变 Powershell是Microsoft Windows所有受支持版本(Win7/Windows 2008 R2和更高版本)上内置的命令行工具。微软称其为是最安全,最透明的Shell、脚本语言或编程语言。但恰恰因为其强大,也吸引了攻击者的注意力。因为其可以在内存中执行代码的特点,攻击者
psexec的底层实现原理是什么
Ping_Pig的博客
11-11 3624
讲在前面 我们在这里学习的是sysinternals工具包中的psexec.exe。本文对于psexec.exe的实现具体理论技术不做赘述,国内外已有优秀的博客对此做了非常详细的解释(本文借鉴国内已有的文章)。本文从实际出发,复述psexec在实现上需要了解的几个重点知识,至于重点知识是否需要深入了解,读者可自行深入。 我们先知道执行psexec会产生那些日志,然后我们再了解psexec执行过程中的技术细节,最后我们来总结日志、psexec的技术细节了解对于我们检测此类横向移动有什么帮助。 日志产生
域渗透——获取用户明文密码
Ping_Pig的博客
04-23 3583
目录 讲在前面: 一、CredSSP获取明文密码 二、Dcsync获取明文密码 讲在前面: 本文是笔者在学习"三好学生"前辈的文章进而总结的一篇文章,内容主要是在内网渗透中获得明文密码的两种方式。,在笔者看来,两种办法都有一定的限制性和局限性,当然还有其他的办法,这需要笔者进一步的继续深入学习从而总结。 一、CredSSP获取明文密码 CredSSP的研究文章的文章通过CredSSP导出用户的明文口令。这篇文章已经分析的非常清楚如何使用,以及使用的场景,当然优缺点也给大家进行了展示,这里不做赘
Microsoft KB2871997的学习
Ping_Pig的博客
10-29 3520
讲在前面 2014年,Microsoft发布了KB2871997补丁,它主要囊括了Windows 8.1和Windows Server 2012 R2中增强的安全保护机制。所以,以往的例如:Windows 7,Windows 8,Windows Server 2008R2和Windows Server 2012也可以更新该补丁后获得上述安全保护机制。 介绍 增强的安全保护机制中有如下部分几点: 减少存储在内存中的凭据数据 支持现代身份验证(Kerberos AES) 其实主要防范的是在身份登录时凭
mimikatz的原理,哪个补丁导致了mimikatz无法获取明文密码,如何绕过?
Ping_Pig的博客
11-10 3439
讲在前面: 对于mimikatz的原理本文只通过简单的话语表述,并在文章后给出分析的思路和参考文章。对于绕过补丁,本文只对KB2871997补丁做阐述,并且犹豫对mimikatz的介绍文章非常之多,所以本文只取重点罗列,让读者能够简单快速的明白关键点,深入理解在文章后给出分析思路和参考文章。 mimikazt的原理 注意:本文对mimikatz获取lsass.exe进程中明文密码的原理做简单描述。 开发语言:C/C++。 开发初衷:深入学习Windows系统以及C/C++语言。 获取明文密码:
as-path-filther
最新发布
06-06
AS-Path Filter是一种基于BGP(Border Gateway Protocol)的路由过滤技术,它可以通过过滤AS路径中的特定AS号码或正则表达式来控制路由流量。 AS-Path是BGP路由协议中的一个属性,它描述了一个路由经过的所有AS号码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值