Kerberosating攻击

已于 2024-01-17 19:06:00 修改
阅读量102 收藏
点赞数
文章标签: 网络 安全
于 2023-08-11 09:49:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53058639/article/details/132224679
版权

Kerberosating攻击

Kerberosating攻击发生在Kerberos协议的TGS_REP阶段,KDC的TGS服务返回一个由服务Hash
加密的ST给客户端。由于该ST是用服务Hash进行加密的,因此客户端在拿到该ST后可以用于本地离线爆破。如果攻击者的密码字典足够强大,则很有可能爆破出SPN链接用户的明文密码。如果该服务在域内被配置为高权限运行,那么攻击者可能接管整个域。

整个过程的核心点在于,攻击者和KDC协商ST加密的时候,协商的是使用RC4_HMAC_MD5加密算法。而该加密算法比较容易被破解,因此攻击者能在本地进行离线爆破。

Kerberosating攻击过程

图片.png

1)攻击者提供一个正常的域用户密码对域进行身份认证,KDC在验证账户和密码的有效性,会返回一个TGT。该TGT用于以后的ST请求。

2)攻击者使用获得的TGT请求针对指定SPN的ST。在请求服务票据的TGS-
REQ过程中,攻击者可以指定其支持的Kerberos加密类型为RC4_HMAC_MD5(ARCFOUR-HMAC-
MD5),因为RC4_HMAC_MD5加密算法比较相比于其他加密算法更容易被破解。

3)如果攻击者的TGT是有效的,不管提供的域账户有无访问指定SPN服务的权限,KDC都会查找哪个账户在ServicedPrincipalName属性中注册了所请求的SPN,然后用该用户的Hash以RC4_HMAC_MD5加密类型加密ST并在TGS_REP包中发送给攻击者。

4)攻击者从TGS_REP包中提取加密的ST。由于该ST是用链接到请求的SPN的账户Hash加密的,因此攻击者可以本地离线破解。如果攻击者的字典足够强大,则可以爆破出该SPN所链接账户的明文密码。

注意:Kerberoasting攻击一般只针对注册用户的SPN,因为机器账户的密码是随机生成的128位字符,是不可能爆破出来的

Kerberosating攻击在实战中主要分为以下四步:

  1. 查询域内注册于域用户下的SPN

  2. 请求指定的SPN的ST

  3. 导出请求的ST

  4. 对该导出的ST进行离线爆破

SPN的发现

这是Kerberosating攻击的第一步。首先,发现域内所有用户注册于域用户的SPN。默认情况下,域内会有一个注册在用户Krbtgt下的SPN
kadmin/changepw。但该SPN对于Kerberosating攻击是没有意义的,因为用户Krbtgt的密码是随机生成的,几乎不可能爆破出来。

我们可以使用以下以下几款工具进行SPN的发现。

RiskySPN

RiskySPN工具下载地址

RiskySPN是一个Powershell脚本的集合,专注于检测与SPN相关的账户是否滥用。该脚本可以帮助我们自动识别弱密码服务票据,根据用户账户和密码过期时间来查找最容易包含弱密码的票据。执行如下的命令,该脚本会自动查找并过滤出(自动去除注册于Krbtgt下的Kadmin/changepw)当前域内注册于域用户下的可能包含弱密码的SPN的详细信息。

Import-Module .\Find-PotentiallyCrackableAccounts.ps1;
Find-PotentiallyCrackableAccounts -FullData

运行Find-
PotentiallyCrackableAccounts.ps1脚本探测域内注册于用户下的SPN,如图所示,可以看到探测出用户jack下注册了SPN

图片.png

GetUserSPNs

GetUserSPNs工具下载地址

GetUserSPNs是kerberoast工具集中查询注册于域内用户下的SPN的脚本,该脚本会查询域内所用注册于用户下的SPN,包括注册于Krbtgt下的Kadmin/changepw。该工具集合有PowerShell和VBS两种语言的脚本,使用命令如下:

#VBS脚本的用法
cscript .\GetUserSPNs.vbs
# PowerShell 脚本的用法
Import-Module .\GetUserSPNs.ps1

图片.png

PowerView.ps1

PowerView.ps1是PowerSpolit中Recon目录下的PowerShell脚本,该脚本可用于查询出域用户下注册了SPN的用户,包括Krbtgt用户,并返回用户的详细信息。该脚本使用命令如下:

Import-Module .\PowerView.ps1
Get-NetUser -SPN

图片.png

请求服务票据

当过滤出注册于用户下的SPN之后,我们就需要请求这些SPN的服务票据了。下面介绍几款进行SPN服务票据请求的工具

Impacket 请求

Impacket下载地址

Impacket
中的GetUserSPNs.py脚本可以请求注册于用户下的所有SPN的服务票据,也可以请求注册于指定于用户下的SPN的服务票据。该脚本使用的命令如下:

#请求注册于用户下的所有SPN的服务票据,并以hashcat能破解的格式保存为hash.txt文件
python3 GetUserSPNs.py -request -dc-ip 192.168.41.10 hack.com/jack:Admin123 -outputfile hash.txt

#请求注册于指定用户jack下的SPN的服务票据,并以hashcat能破解的格式保存为hash2.txt文件
python3 GetUserSPNs.py -request -dc-ip 192.168.41.10 hack.com/jack:Admin123 -outputfile hash2.txt -request-user jack

如图所示为请求注册于指定用户jack下的SPN的服务票据的运行结果

图片.png

图片.png

Rubeus 请求

Rubeus 中的Kerberoast
支持对所有用户或特定用户执行Kerberoasting操作,它的原理在于先用LDAP查询域内所有注册在域用户下的SPN(除了Kadmin/changepw),再通过发送TGS包,直接输出能使用John或hashcat爆破的Hash。该工具的使用命令如下:

#请求注册于用户下的所有SPN的服务票据,并以hashcat能破解的格式保存为hash.txt文件
Rubeus.exe kerberoast /format:hashcat /outfile:hash.txt

#请求注册于用户下的指定SPN的服务票据,并以john能破解的格式保存为hash2.txt文件
Rubeus.exe kerberoast /spn:SQLServer/DC.hack.com:1433/MSSQL /format:john /outfile:hash2.txt

图片.png

图片.png

mimikatz 请求

使用mimikatz请求指定SPN的服务票据的命令如下,请求的服务票据将保存在内存中,如图所示:

#请求指定SPN的服务票据
kerberos::ask /target:SQLServer/DC.hack.com:1433/MSSQL

图片.png

导出服务票据

在请求服务票据的过程中,有的工具可以直接将票据打印出来保存为文件,而有的工具会将票据保存在内存中。对于保存在内存中的票据。可以使用以下的命令查看:

#直接在cmd窗口执行
Klist
#在mimikatz下面执行
Kerberos::list

查看了内存中的票据之后,我们就需要将其导出为文件了

图片.png

使用mimikatz导出票据

使用mimikatz将内存中的的票据导出来的命令如下,执行完成后,会在mimikatz同目录下导出.kirbi格式的票据文件。

mimikatz.exe "kerberos::list /export" "exit"

图片.png

离线破解服务票据

通过前几步取得了.kirbi票据文件或hashcat、John能直接破解的文件,接下来就需要本地离线破解服务票据了。

kerberoast

kerberoast是用于攻击Kerberos实现的一些工具的集合。该工具中的tgsrepcrack.py脚本可以对mimikatz导出的.kirbi格式的票据进行爆破。

使用tgsrepcrack.py脚本离线破解.kirbi文件的命令如下,如图所示,可以看到破解的密码为Admin123

python3 tgsrepcrack.py pass.txt 1-40a10000-Administrator@SQLSever\~DC.hack.com\~1433\~MSSQL-HACK.COM.kirbi

图片.png

hashcat

针对Impacket和Rebeus请求的票据格式,可以使用hashcat执行如下的命令来进行爆破。

hashcat -m 13100 hash.txt pass.txt --force

Kerberoasting攻击防御

对于防守方的蓝方来说,如何针对Kerberoasting攻击检测和防御呢?总的来说,有如下几点:

1)确保服务账户和密码为强密码,具有随机性并定期修改。
2)Kerberoasting能成功的最大因素就是KDC返回的ST是用RC4_HMAC_MD5加密算法加密的,攻击者可以比较简单地进行爆破。如果配置了强制使用AES256_HMAC方式对Kerberos票据进行加密,那么即使攻击者获取了ST,也无法将其破解。但这种加密方式存在兼容性的问题。
3)许多服务账户在域中被分配了过高的权限,从而导致了攻击者在破解该服务账户的密码后,能迅速进行域内权限提升。因此,应该对域内的服务账户权限进行限制,采取最小化权限的原则。
4)防守方在检测Kerberoasting攻击时,可以进行日志审计,重点关注事件ID为4769(请求Kerberos服务票据操作)的日志。如果有过多的4769日志,可以对事件ID为4769的日志进行筛选,筛选出票据加密类型为0x17(RC4_HMAC)的日志。

限,从而导致了攻击者在破解该服务账户的密码后,能迅速进行域内权限提升。因此,应该对域内的服务账户权限进行限制,采取最小化权限的原则。
4)防守方在检测Kerberoasting攻击时,可以进行日志审计,重点关注事件ID为4769(请求Kerberos服务票据操作)的日志。如果有过多的4769日志,可以对事件ID为4769的日志进行筛选,筛选出票据加密类型为0x17(RC4_HMAC)的日志。

学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

程序员小肖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
信息系统安全实验(七):使用Kerberos实现网络身份认证
agjirowjtg的博客
02-01 5989
这是信息系统安全实验系列的第七篇~ 1. 背景知识 (1)概述        Kerberos又指麻省理工学院为这个协议开发的一套计算机网络安全系统。系统设计上采用客户端/服务器结构与DES加密技术,并且能够进行相互认证,即客户端和服务端均可对对方进行身份认证。 (2)概念 ①    密钥分发中心(KDC)        Kerberos使用了一个由两个独立的逻辑部分:认证服务器(同身...
内网渗透测试:SPN 与 Kerberoast 攻击讲解
A_991128a的博客
07-30 166
SPN,ServicePrincipal Names,即服务主体名称,是服务实例(比如:HTTP、SMB、MySQL等服务)在使用 Kerberos身份验证的网络上的唯一标识符,其由服务类、主机名和端口组成。Kerberos 认证过程使用 SPN 将服务实例与服务登录账户相关联,如果想使用Kerberos 协议来认证服务,那么必须正确配置SPN。在使用 Kerberos 身份验证的网络中,必须在内置计算机帐户或域用户帐户下为服务器注册SPN。对于内置机器帐户,SPN 将自动进行注册。
Kerberos安全认证-连载2-Kerberos安装及使用
qq_32020645的博客
06-05 1788
Kerberos名词术语、Kerberos安装、Kerberos命令使用
AS-REP Roasting与Kerberoasting利用
qq_18811919的博客
03-03 438
讲解里AS-REP Roasting与Kerberoasting相关配置过程与相关利用方式
网络身份认证——Kerberos配置及认证
weixin_34125592的博客
12-13 1243
教材:《信息系统安全概论》 实验目的 Windows域下kerberos的实现,对用户是否透明,尽可能多的描述细节。 学习Kerberos的安装和配置方法,掌握和了解Kerberos的工作原理和实现原理,使用Kerberos实现网络身份认证。 实验要求 1)阅读教材4.6节内容,分别说明客户机与三类服务器所需完成的任务及以及这种身份认证方式的优缺点。 2)在Kerberos服务端,查询KDC的配置...
金仓数据库KingbaseES安全指南--6.3. Kerberos身份验证
arthemis_14的博客
08-01 860
金仓数据库KingbaseES安全指南--6.3. Kerberos身份验证
Hadoop 3.x安装部署详细手顺
xiaokebiubiubiu的博客
03-09 3110
一、准备工作 Ambari、HDP版本介绍 Ambari 2.7.3仅支持HDP-3.1.0,HDP-3.0.1,HDP-3.0.0使用以下URL确定对每个产品版本的支持https://supportmatrix.hortonworks.com/,以及下载报告 工具包下载 ambari-2.7.3.0: http://public-repo-1.hortonworks.com/ambari/centos7/2.x/updates/2.7.3.0/ambari-2.7.3.0-c
hbase1.2.1配置kerberos
mm_bit的博客
04-29 8360
今天需要在hbase上配置kerberos认证,所以需要安装kerberos,安装配置过程如下: kerberos简介 kerberos简单来说就是一套完全控制机制,它有一个中心服务器(KDC),KDC中有数据库,你可以往里添加各种“人”以及各种“服务”的“身份证”,当某个人要访问某个服务时,他拿着自己的“身份证”联系KDC并告诉KDC他想要访问的服务,KDC经过一系列验证步骤,最
CDH启用kerberos认证
eyeofeagle的博客
01-20 6532
文章目录1,集群架构2, 安装kerberos服务3, CDH集群启用kerberosa, Administrator: securityb, Enable Kerberosc, 确认并勾选d, 填写kdc信息e, 略过CDH管理kerberos, 填写CDH管理员账号4, 使用kerberos认证,调用hive,hbase等服务 1,集群架构 角色 主机ip kerberos软件包 说明...
hadoop2.0 安全配置 kerberos
baiyangfu的专栏
10-14 7324
在安装配置 kerberos 之前,需要了解一些背景资料:  http://www.freebsd.org/doc/zh_CN/books/handbook/kerberos5.html http://blog.wgzhao.com/2005/12/02/kerberos-authentication-configuration/ 1、kdc服务器上安装kerberos-se
kerberos server 安装配置
玩物
04-10 1946
kerberos安装联网安装 kerberossudo apt-get install krb5-kdc krb5-admin-server 安装which kinit 查看是否安装成功一、kerberos配置   默认安装路径为 /etc/ker5kdc1、/etc/krb5.conf 若没有此文件则自己创建[kdc] profile = /etc/krb5kdc/kdc.conf [...
FastDDS中的线程梳理
u010378559的博客
07-29 387
Fast DDS中的线程梳理和代码分析,详解
TCP请求如何获取客户端真实源IP地址
ajax_beijing_java的博客
07-29 343
针对四层的TCP请求(TCP监听器),可以通过在后端主机配置TOA插件获取客户端的真实源IP地址。TOA是操作系统的内核模块,需要在ELB后端主机中安装TOA插件,以实现后端主机可获取客户端真实源IP地址的目的。c. 编译过程若未提示warning或者error,说明编译成功,检查当前目录下是否已经生成toa.ko文件。假如提示信息中包含“TOA: toa loaded”,则证明内核模块已经加载成功。f. 以下步骤是以Ubuntu、Debian环境为例,进行编译环境准备。主备、集群模式资源池列表见。
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 352
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
第三周:网络应用(上)
Vincent_Zhang233的博客
07-26 242
一、网络应用(层)内容概述我们已经知道,Internet的体系结构是符合TCP/IP协议栈的,而“应用层”就在这个协议的最上层。
S5730举例
jjjxxxhhh123的博客
07-27 965
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
网络安全在2024好入行吗?
最新发布
2401_84466225的博客
07-29 501
024年的今天,慎重进入网安行业吧,目前来说信息安全方向的就业对于学历的容忍度比软件开发要大得多,还有很多高中被挖过来的大佬。
使用WebSocket协议调用群发方法将消息返回客户端页面
2302_79840586的博客
07-27 1044
使用WebSocket协议调用群发方法将消息返回客户端页面
网络编程 - 粘包与拆包第二弹 - Netty粘包与拆包问题的技术解决方案
逍遥Sean的博客
07-29 715
Netty是一个高性能的异步事件驱动的网络应用框架,专注于快速开发可维护的高性能协议服务器和客户端。它提供了一系列的解决方案来处理TCP粘包与拆包问题,使得开发者可以专注于业务逻辑而不必过多关注底层网络细节。通过使用Netty提供的解码器和编码器,我们可以有效地处理TCP粘包与拆包问题,提升网络应用的稳定性和性能。选择合适的解决方案取决于你的具体业务需求和协议设计。希望本文能帮助读者深入理解和解决TCP粘包与拆包问题,在实际应用中获得更好的开发体验和性能优化。
【计算机网络】OSPF单区域实验
m0_65787507的博客
07-26 921
DR和BDR是由同一网段中所有的路由器根据路由优先级和Router ID通过Hello报文选举出来的,只有优先级大于0的路由器才具有选举资格。进行DR/BDR选举时每台路由器将自己选出的DR写入Hello报文中,发给网段上的每台运行OSPF协议的路由器。如果DR或BDR失效,或者有新的路由器加入网络并希望成为DR或BDR,那么它们将参与新的选举过程。4:非DR路由器将自己的LSA发送给DR,然后DR将这些LSA泛洪到整个区域,使所有路由器获得一致的LSDB,从而确保区域内路由器都能计算出相同的最短路径树。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值