推荐开源项目:DelegationBOF - 深度洞察Kerberos委托安全性的利器
DelegationBOF 项目地址: https://gitcode.com/gh_mirrors/de/DelegationBOF
在网络安全领域,有效管理和监控Kerberos委托设置是至关重要的。今天,我们要向您推荐一个强大的开源工具——DelegationBOF,它利用LDAP来检查域中可能被滥用的Kerberos委托设置,并附带了额外的功能,帮助你检测可被攻击的SPN账户。
1. 项目介绍
DelegationBOF是一个由Cobalt Strike扩展(.cna)实现的工具,其核心功能是对RBCD(限制型委派)、约束型委派、约束型委派(含协议转换)和无约束型委派进行检查,以防止潜在的安全风险。此外,它还提供了一个get-spns
命令,用于查找可用于ASREP破解或Kerberoasting的SPN账号。
2. 项目技术分析
DelegationBOF通过执行get-delegation
和get-spns
命令对目标域名进行深度扫描。它依赖于LDAP查询来获取域中的Kerberos策略信息,然后分析这些数据以确定哪些账号配置了特定类型的委托。工具内部使用Cobalt Strike的BeaconFormatAlloc
函数以结构化的方式呈现结果,使得输出易于理解和处理。
3. 项目及技术应用场景
- 安全审计:对于企业IT部门和安全团队,DelegationBOF可以作为一个强大的审计工具,定期检查并确保Kerberos委托设置的安全性。
- 渗透测试:渗透测试人员可以通过此工具快速识别目标环境中的脆弱点,模拟攻击者行为,评估系统安全性。
- 教育与研究:网络安全研究人员可以使用DelegationBOF深入理解Kerberos协议的工作原理和潜在风险。
4. 项目特点
- 多类型检查:支持多种类型的Kerberos委托检查,包括RBCD、Constrained、Constrained w/Protocol Transition以及Unconstrained Delegation。
- 灵活的命令行界面:命令行接口简洁易懂,用户可以根据需要选择指定的域名和检查类型。
- 额外功能:不仅限于委托检查,还包括寻找Kerberoastable和ASREP账户的功能。
- 自适应输出优化:利用Cobalt Strike的内建功能,调整输出格式,使大量数据更易读。
要使用DelegationBOF,只需克隆项目,运行make
,将生成的.cna
文件添加到您的Cobalt Strike客户端即可开始操作。
在大型环境中运行时,若担心内存不足,可以提前增加BeaconFormatAlloc
的预设缓冲区大小。
总之,DelegationBOF是你进行Kerberos安全评估的得力助手,无论你是安全专业人员还是热衷于学习网络安全的爱好者,都不容错过。立即尝试DelegationBOF,提升你的安全防护能力吧!
DelegationBOF 项目地址: https://gitcode.com/gh_mirrors/de/DelegationBOF