Active Directory 04 - Bronze Bit Attack (CVE-2020-17049)

最新推荐文章于 2025-02-21 16:41:46 发布
原创 最新推荐文章于 2025-02-21 16:41:46 发布 · 806 阅读 · 0 ·
CC 4.0 BY-SA版权
本文为博主原创文章,未经博主允许不得转载。
文章标签:

#安全 #ActiveDirectory

写在最前

如果你是信息安全爱好者,如果你想考一些证书来提升自己的能力,那么欢迎大家来我的 Discord 频道 Northern Bay。邀请链接在这里:

https://discord.gg/9XvvuFq9Wb

我会提供备考过程中尽可能多的帮助,并分享学习和实践过程中的资源和心得,大家一起进步,一起 NB~

背景

在过去的两篇文章当中:

Active Directory 02 - Windows Kerberos Authentication(Kerberos 协议鉴权)

Active Directory 03 - Delegation(委派),MS-SFU 规范以及 Protocol Transition

我们已经讨论了整个 Kerberos 鉴权的过程,以及 Delegation 涉及的各种概念。

首先,我们稍微回顾一下 Active Directory 02 篇中讲到的 TGS 的内容以及 S4U2Proxy 协议的交互过程,然后展开今天的主题:Bronze Bit Attack (CVE-2020-17049)。

回顾

使用同样的示例图片,我们回顾一下当用户进行 TGS_REQ 请求之后,KDC 返回的 TGS 的特性,以及包含的内容。

TGS

图片来自https://www.netspi.com/blog/technical/network-penetration-testing/cve-2020-17049-kerberos-bronze-bit-theory/

  1. 用户名(这张 TGS 是给谁的);
  2. 用户可解密部分,使用 logon session key(紫色) 加密;
  3. 用户不可解密部分,使用 服务 Key(绿色) 加密;

重要信息

  • Service Ticket 是用 服务 Key(绿色) 加密的;
  • TGS 票据中 Forwardable 这个属性的值,是接下来需要关注的

S4U2Proxy 过程

回顾了 TGS_REQ 的过程,在前进到 Bronze Bit Attack 之前,还必须回顾一下一个服务使用 S4U2Proxy 协议的过程。

图片来自https://www.netspi.com/blog/technical/network-penetration-testing/cve-2020-17049-kerberos-bronze-bit-theory/
上图中,Service 1 被配置成 Constrained Delegation,目标是 Service 2,并且用户已经访

最低0.47元/天 解锁文章

200万优质内容无限畅学
0pr
关注
专栏目录
此计算机必须为委派而被信任_实际利用Kerberos Bronze Bit漏洞绕过委派限制(CVE202017049)...
weixin_42350514的博客
01-08 575
0x00 前言本文主要说明如何针对Kerberos Bronze Bit漏洞(CVE-2020-17049)进行实际利用的过程。在阅读这篇文章之前,我强烈建议大家首先阅读《Bronze Bit攻击理论》这篇文章,以了解这种攻击的根本原因和攻击效果。值得关注的是,Microsoft在2020年11月10日发布了该漏洞的补丁程序。这个补丁程序的发布将持续到2021年2月9日。以下的攻击场景中...
O-RAN notes(2)---Bronze SMO deployment (1)
06-30 2645
O-RAN SC Bronze(or release 'B') has been released at 2020/6/21. Follow link:https://wiki.o-ran-sc.org/pages/viewpage.action?pageId=14221635 (1) SMO deployment https://wiki.o-ran-sc.org/display/GS/SMO+Installation First of first, you need a VM. Reco..
CVE-2020-17049 Kerberos Bronze Bit 攻击
渗透测试研究中心
12-09 686
0x01 前言在getST.py(https://github.com/SecureAuthCorp/impacket/blob/master/examples/)中添加了一个新的PR-force-forwardable标识。启用该标识后,程序将执行以下步骤(新添加的内容以粗体显示):程序将使用通过-hash或-aesKey参数提供的密钥,获得一个TGT作为命令行指定的服务主体程序将通过其T...
Kerberos Bronze Bit AttackCVE-2020-17049) 绕过复现
whojoe的博客
07-21 541
前言 前面说到可以通过设置 高权限用户没有在特殊要求之下设置为不可委派 为了防止凭据被盗微软推出了Protected Users组,适用于Windows Server 2016,Windows Server 2012 R2、 Windows Server 2012 这个就是绕过这个策略的方法 环境搭建 主机 机器名 ip 用户 密码 版本 域控 ad.test.com 192.168.164.147 administrator Aa1234 win2012r2 域内机器 user.tes
域渗透AD 示例场景漏洞 Kerberos Bronze BitCVE-2020-17049】漏洞
盾悟
10-17 2万+
在S4u2Self阶段生成的服务票据,KDC用其密钥在票据上进行了签名,并将签名插入了PAC中,而后PAC又经过两次签名(使用服务密钥PAC_SERVER_CHECKSUM 和使用KDC密钥PAC_PIVSVR_CHECKSUM签名)。,而我们又已知Servicel 的Hash,因此,我们可以使用Servicel的Hash解密Servicel的ST,然后将forwardable标志位设置为1,再重新加密,形成修改后的Servicel ST。该漏洞启用的攻击是Kerberos委派引起的其他已知攻击的扩展。
Kerberos Bronze BitCVE-2020-17049
最新发布
anddddoooo的博客
02-21 705
域控机器账户:WIN-0V0GAORDC17域控 ip:192.168.72.163域内攻击者机器 ip:192.168.72.158,host:WIN10-01攻击者 kali 机器 ip:192.168.72.162微软允许我们通过添加如下设置,来阻止此用户被服务委派:用户设置为敏感用户,不允许被委派。用户被添加到 Protected Users 安全组内。上游服务的约束性委派设置了仅使用 kerberos。
2_medibank-bronze-plus-progress-hospital (2).pdf
07-02
2_medibank-bronze-plus-progress-hospital (2).pdf
O-RAN notes(12)---Bronze E2 setup and O1-alarm example(1)
09-12 1971
I will introduce two topics in following post, which are not part of the ‘Getting started’ section, but are included in oran-sc/it.dep/demos: E2 setup between near-RT RIC(ricplt) and O-DU high O1 alarm example between near-RT RIC(ricplt) and SDNC-SDNR(smo
O-RAN notes(3)---Bronze SMO deployment (2)
07-04 1006
(continued) Most of the problems are related to 'docker pull'. Before you execute the install script(./dep/smo/bin/install), make sure you have all the docker images, and this is very important: (09:09 dabs@smobronze bin) > docker images REPOSITORY
dns委派的作用_最糟糕的交织相融:结合NTLM中继和Kerberos委派进行域控
weixin_39943750的博客
11-29 499
标原创只是为了让我的谷歌翻译能够在这世间流传久一点,没有任何其他意思。全程google翻译,我太菜看不懂,大佬自取链接看吧,点击阅读原文也可以,路过顺便点一下广告吧爱你们https://dirkjanm.io/worst-of-both-worlds-ntlm-relaying-and-kerberos-delegation/在我上个月关于无约束授权(https://dirkjanm.i...
s3协议 域签名_Kerberos协议探索系列之委派篇
weixin_39574720的博客
12-03 606
0x00前言在前两节中说到了关于Kerberos的扫描和Kerberoasting以及金票的利用,本文主要说明一下在kerberos体系中关于委派的利用方式,委派在域环境中其实是一个很常见的功能,对于委派的利用相较于先前说的几种攻击方式较为“被动”,但是一旦利用也会有很大的危害。0x01什么是委派在域中如果出现A使用Kerberos身份验证访问域中的服务B,而B再利用A的身份去请求域...
Chapter 1 Securing Your Server and Network(12):保护链接server
weixin_34187822的博客
12-31 91
原文出处:http://blog.csdn.net/dba_huangzj/article/details/38438363。专题文件夹:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者允许。不论什么人不得以“原创”形式公布,也不得已用于商业用途。本人不负责不论什么法律责任。         前一篇:http://...
此计算机必须为委派而被信任_WCF 的委派和模拟
weixin_42508215的博客
12-24 449
WCF 的委派和模拟Delegation and Impersonation with WCF03/30/2017本文内容模拟 是一种常用技术,服务可使用该技术限制客户端对服务域资源的访问。Impersonation is a common technique that services use to restrict client access to a service domain's res...
简单聊聊CVE-2020-13379
一个安全研究员
08-04 8385
多次跳转导致的ssrf
CVE-2020-17519 漏洞复现
weixin_43885355的博客
01-31 1470
CVE-2020-17519 0x00 简介 Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。基于流执行引擎,Flink提供了诸多更高抽象层的API以便用户编写分布式任务。 0x01 漏洞概述 CVE-2020-17519 任意文件读取漏洞 Apache Flink 1.11.0中引入了一项更新,该更新在1.11.1及更高的版本和1.11.2中发布。 该项更新允许攻击者通过JobManager进程的REST API读取JobManag
OSCP证书考试总结与终身学习 - 带你走上 OSCE3
热门推荐
0pr
08-25 2万+
终于有点时间写些东西了。这半年来一直在准备 Offensive Security 的各种考试,内容太多。直到昨天,也就是8月24日,我完成了第二轮 OSEP 的 Lab,心里踏实多了,等着9月4日考试的同时,也想做个小结,谈谈我拿 OSCP 的历程以及今后的目标。希望可以为想考取 OSCP 的同学指明一些道路。
配置 FoxyProxy 规则自由切换代理模式
0pr
05-23 5844
背景介绍 FoxyProxy 已经是很好用的 Firefox 插件了,但是缺少键盘快捷键切换代理让使用体验变得很麻烦。 举例说明,FoxyProxy 设置了 4 个代理,分别是 Socks,none,BurpSuite 以及 ZAP。 Socks 你懂的,none 代表无需代理,BurpSuite 和 ZAP 是在测试 webapp 的时候使用(TryHackMe HackTheBox)。Burp 和 ZAP 我经常配合使用。麻烦事情就来了,如果每次使用 Burp 和 ZAP 的时候,都要手动切换,效率真的
初遇 chatGPT
0pr
12-19 4333
感觉人们的搜索行为方式要发生巨大改变了。Google 我想已经瑟瑟发抖(提供数据但是门户可能要洗白)。GPT 的回答准确率只要能保证,我想绝大多数人还是会喜欢用 GPT 搜索答案,不需要在搜索引擎上一条一条点进去看了。Amazon Alexa,Google Home,这些在智能家居和人机交互方面做出过尝试的应用,也要重新审视一下未来的市场变革。想象一下 GPT 强大的语义处理如何配合上强大的语音处理,BANG!钢铁侠的管家 Jarvis 就成了。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值