Kerberos协议详情

已于 2024-08-24 22:08:19 修改
阅读量570 收藏 6
点赞数 22
文章标签: 网络安全
于 2024-08-24 22:06:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74349936/article/details/141505959
版权

Kerberos 是一种网络认证协议,其通过密钥系统为客户机 / 服务器 应用程序提供强大的认证服务。

kerberos协议中存在三个角色,分别是

1、客户端(client):发送请求的一方

2、服务端(server):接收请求的一方

3、密钥分发中心(key Distribution Center,简称:KDC)

        而KDC中一般分为两部分:

        3.1、AS(Authentication Server):认证服务器,专门用来认证客户端身份并发放客户用于访问TGS的TGT(票据授予票据)

        3.2、TGS(Ticket Granting Ticket):票据授予服务器,用来发放整个认证过程以及客户端访问服务端是所需的ST(服务授予票据)

认证过程(重点)

简单理解就是

1.从AS里获取TGT(票据授予票据)。

2.将TGT给TGS从而获取ST(票据授予票据)。

3.将ST给要访问的服务端,获取服务。

详细认证流程

第一步:客户端拿着身份信息去AS认证,通过后返回TGT

其中身份信息为

TGT内容:

krbtgt:是KDC中的账号。

CT_SK:是一段随机随机字符串,用于后面加密使用

图中的两个CT_SK内容一样。

第二步:用户用重新构造好好的TGT去TGS获取ST

用户将TGT中用户加密部分解密出CT_SK,再重新构造信息后,用CT_SK加密。再附上服务端名称(server name)发送给TGS。

重新构造的TGT:

Servername:就是你要获取的服务。

TGS收到TGT后,将krbtgt那部分进行解密,再用其中的CT_SK对CT_SK加密部分进行解密,然后对照其中信息是否一致,一致就返回给用户ST。

ST:

其中server hash加密是用要获取的服务端密码进行加密的。

第三步:将ST重构后发给服务端,获取服务

重新构造的ST:

服务端解密后,再对照信息,然后获取服务。

简单理解-kerberos之黄金票据

黄金票据

说白了就是伪造TGT,绕过AS的认证。

而其中伪造的难点是什么呢?

就是krtbtgt的hash加密是无法伪造的。

注意:CT_SK是可以伪造的。

黄金票据攻击

就是用伪造的TGT去获取ST,然后控制服务端的域内主机。

简单理解-kerberos之白银票据

白银票据

其实和黄金票据类似,就是直接伪造ST。

白银票据和黄金票据的差别

在这里说一下白银票据和黄金票据的差别

黄金票据:伪造TGT(伪造TGT之后就可以买去访问任意服务的票据)

白银票据:伪造ST(伪造ST后只能访问去某个服务的票据)

参考资料

kerberos协议攻防:黄金白银票据和委派攻击_哔哩哔哩_bilibili

-suiyuan-
关注
Kerberos协议理解
05-05
Kerberos协议理解 Kerberos是一种广泛使用的身份验证协议,旨在提供身份验证服务,以确保在不安全的网络环境中进行身份验证的安全性。下面将详细介绍Kerberos协议的概念、原理和工作流程。 1. Kerberos协议的基础...
Kerberos认证原理与使用教程
m0_46168848的博客
02-21 8414
Kerberos认证原理与使用教程
深入理解Kerberos认证原理
qq_52095156的博客
08-02 542
Kerberos是一种网络身份认证协议,它的名字源自希腊神话中的三头犬Kerberos,象征着其强大的保护能力。Kerberos协议的主要目标是通过在不安全的网络环境中提供强大的身份认证,来确保网络服务的安全性。:Kerberos服务器验证用户的凭证,如果凭证有效,服务器会生成一个加密的授权票据(Ticket Granting Ticket,TGT)。:当客户端需要访问特定的网络服务时,它会使用会话密钥生成一个服务票据(Service Ticket),并将其发送给Kerberos服务器。
Kerberos认证协议详解——基础篇
weixin_42497762的博客
09-10 1530
本文还有配套的精品资源,点击获取 简介:Kerberos是一种网络认证协议,通过第三方认证服务器实现用户与服务器之间的安全交互。本文将详细介绍Kerberos的基本原理、工作流程及其在实际应用中的重要性。文章首先介绍Kerberos的简介、工作原理和组件,然后讨论其优势、应用场景以及面临的挑战与改进。Kerberos在企业网络环境和一些软件服务中得到了广泛应用,对于网络安全...
Kerberos协议详解
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
06-23 972
Kerberos协议是一种用于网络身份验证的协议,最初是由麻省理工学院研究人员开发的,广泛应用于现代计算机网络中。Kerberos协议提供了一个机制,使得用户可以在无需重复输入密码的情况下,在计算机网络上访问多个计算机系统。是为了确保计算机网络中的用户身份验证、授权和访问控制的安全性。其主要设计目标包括:强身份认证:Kerberos协议使用基于加密的身份验证机制,确保用户身份的真实性。在协议中,TGT和服务票据都是基于密钥加密的,只有拥有正确密钥的身份才能加密和解密这些消息。
全网最详细 | Kerberos协议详解
Ms08067安全实验室
02-27 7321
目录Kerberos基础PAC特权属性证书1. PAC结构2. PAC凭证信息3. PAC签名4. KDC验证PAC5. PAC在kerberos中的优缺点Kerberos实验AS-REQ & AS-REP1. AS-REQ请求包分析2. AS-REP回复包分析 (1) TGT认购权证 (2) Lo...
Kerberos协议之TGS_REQ & TGS_REP
喜欢Python编程的程序员柚柚呀
08-12 657
拿到内容1和内容2,使用自己hash来作为密钥,来解密内容1,拿到客户端/服务器会话密钥和客户端ID,继续把拿到客户端/服务器会话密钥来解密内容2,获(新的身份验证器)得客户端ID,如果一致,就会返回内容给客户端,来表示回应。(这一步不管用户有没有访问服务的权限,只要TGT正确,就都会返回ST服务票据,这也是kerberoasting能利用的原因,任何一个用户,只要hash正确,就可以请求域内任何一个服务的ST票据)在完成上述的检测后,如果验证通过,则TGS完成了对客户端的认证,会生成一个用Logon。
kerberos协议简介.pdf
07-11
Kerberos 协议简介 Kerberos 协议是一种计算机网络认证协议,允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。该协议基于对称密码学,并需要一个值得信赖的第三方。 Kerberos 协议...
三步轻松理解Kerberos协议
06-19
Kerberos协议是一种广泛应用于企业环境的身份验证协议,特别是在Active Directory (AD)域环境中,它为客户端和服务器应用提供了安全的认证服务。该协议的核心在于使用对称加密技术,确保了用户身份的安全验证,防止...
域渗透中的DPAPI和Kerberos协议.pdf
08-08
议题分享主要介绍了域渗透中数据保护API架构逻辑和Kerberos认证协议的通信流程,同时从攻击者的角度谈了DPAPI和Kerberos协议的利用,最后给出常见攻击思路的防御和缓解措施。 1.1 DPAPI架构 1.2 DPAPI加密机制 1.3 ...
Kerberos认证报错:Failed to find any Kerberos tgt 的处理
大数据时代的狂欢
05-25 3353
JDK认为Kerberos使用的加密算法比较弱,不承认加密出来的密钥。例如在JDK1.8_351中,默认不支持DES相关的Kerberos 5加密算法。如tgt缓存文件不存在,已过期,jdk版本过老等问题,这就不多说了。但较低的、121版本就支持。
详细讲解kerberos认证全过程、黄金、白银票据
qq_63217130的博客
08-18 2822
当TGS接收到请求之后,会检查自身是否存在客户端请求的服务,如果存在就会拿ktbtgt hash解密TGT(由于TGS是在DC上的,所有具有krbtgt的hash),解密到的信息中包含了login session key,别忘了客户端发过来的时间戳就是利用login session key加密的,此时就可以用其解密获取到时间戳了,然后验证时间戳。只要在TGT过期之前,可以直接请求TGS申请服务票据,而不用在每次访问服务的时候都向AS请求TGT,减少了与AS的通信,提高了系统的性能和效率。
一文搞定Kerberos认证协议(黄金票据、白银票据)
qq_22792465的博客
07-15 2347
Kerberos主要为三方协议(地狱三头犬)即:客户端Client、服务端Server、密钥分发中心KDC其中KDC中包括AS(Authentication Server、认证服务器)和TGS(Ticket GrantingServer、票据授予服务器)AD(活动目录,里面包含域内用户数据库、存储用户、用户组、域相关的信息)这里首先用一句话进行解释Kerberos协议流程以便于下文阐述的理解(仅帮助理解下述出现的名词后续有详细解析,带着这句话往下观看):解决的问题:如何证明我就是我!!!!
【内网横向】Kerberos认证
网络安全从业者的学习笔记
03-08 391
Windows的身份认证方式主要有NTLM认证和Kerberos认证两种,但是在域中,依旧采用Kerberos认证的方式(网络认证协议)。Kerberos协议在内网域渗透中可谓是必修的课程,黄金票据、白银票据以及委派攻击都离不开Kerberos协议
内网安全-Kerberos协议&黄金白银
m0_50572593的博客
05-17 703
内网安全&权限维持&黄金票据&白银票据&Kerberos协议 白银票据总结 只能访问文件(比较局限)1、伪造的ST,只能访问指定的服务,如CIFS;2、不与KDC交互,直接访问Server;3、ST由服务账号 NTLM Hash 加密。
内网安全-Kerberos协议详解
qq_52263650的博客
07-30 490
一种网络认证协议,作为一种可信任的第三方认证服务,使用传统密码技术(如:共享密钥)进行认证服务。人话:解决了远程访问服务器时,如何证明我是我的问题,保证了用户认证的安全性。
Kerberos:更安全的网络认证协议
最新发布
dxh9231028的博客
09-10 1426
Kerberos 是一种网络认证协议,主要用于特定的场景下,代替传统的token方式,以一种更繁琐,但更安全的方式来认证用户信息。它通过机制,确保用户在网络中与服务之间进行加密通信,并且避免了密码在网络中传输。Kerberos 的设计目标是通过可信的第三方(即)管理用户身份,提供单点登录 (SSO) 和安全的认证方式。
Kerberos认证
Lyu_JinBo的博客
12-21 1288
背景:基于RFC1510,Kerberos Version 5为分布式环境和与其他系统的交互标准提供增强的认证。Kerberos来源于希腊神话three-headed dog。三头狗包含KDC(Key Distribution Center)、客户端和提供资源或服务的服务器。KDC是安装在域控制器上的,提供以下两种服务:AS(Authentication Service)和TGS(Ticket-G
改进的动态口令Kerberos协议:提升网络安全
"基于动态口令体制的Kerberos协议改进是一项针对网络安全中身份认证问题的研究。该论文由黄建华和何希两位作者在华东理工大学完成,主要探讨了Kerberos协议的原理及其局限性。Kerberos是一种广泛应用于分布式网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值