kerberos协议通过认证服务器实现了,【域渗透】Kerberos协议认证

最新推荐文章于 2022-12-03 10:09:37 发布
最新推荐文章于 2022-12-03 10:09:37 发布
阅读量308 收藏
点赞数
文章标签: kerberos协议通过认证服务器实现了

参考链接:

详解kerberos认证原理,真的超级无敌详细~~~

ac020962fec3

kerberos认证的示意图

域控制器(AD)里面有两个重要的服务:Authentication Service(AS)、Ticket Granting Service(TGS)

角色:客户端,AD,服务端

KDC负责管理票据、认证票据、分发票据但是 。KDC 不是一个独立的服务它由以下服务组成:

AS:身份验证服务

TGS:票据分发服务

TGT:票据分发票据

KDC:密钥分发中心(这里理解为AD)

session key:AS随机生成的会话密钥

server session key:TGS随机生成的服务会话密钥

时间相关的信息:时间戳

目的:客户端要访问控制服务端,与服务端建立连接通信。

ac020962fec3

AS

AS-REQ:客户端发送自己的信息以及要连接的服务端信息给AS,AS去AD查看是否为白名单,验证通过,AS返回session key和TGT1、TGT2

TGT1(session key,TGS服务信息,结束信息)(使用客户端的NTLM hash加密)

TGT2(session key,客户端信息,结束时间) (KDC NTLM hash加密)

AS-REP:客户端接收AS返回的session key及TGT1、TGT2,随后发送 认证因子+TGT2+客户端信息+服务端信息给TGS

使用自己客户端的NTML hash解密TGT1得到里面的session key,TGS服务信息,结束信息(应该会验证一下sessoin key是否一致)

使用解密出来的session key加密生成认证因子(客户端信息,当前时间...等信息)

ac020962fec3

TGS

TGS-REQ:TGS接收到 认证因子+TGT2+客户端信息+服务端信息,校验后,将生成的TGT3和TGT4发送给客户端

TGS会先用KDC NTLM hash解密TGT2,得到里面的 session key,客户端信息,结束时间

再利用session key解密认证因子,得到里面的 客户端信息,当前时间(时间戳)...等信息

校验:

当前系统时间和时间戳(对比未过期);

(认证因子)客户端信息和(TGT2)客户端信息;

客户端访问服务端的权限;

......

生成server session key

TGT3(sever session key,服务端信息,票据到期时间)(使用session key加密)

TGT4(server session key,客户端信息,票据到期时间)(使用服务端NTLM hash加密)

TGS-REP:客户端接收到TGT3和TGT4后,将生成的认证因子2+TGT4发送给服务端

使用session key解密TGT3(sever session key,服务端信息,票据到期时间)

使用解密出来的server session key加密生成认证因子2(服务器信息,票据到期时间...等信息)

ac020962fec3

Server

AP-REQ:服务端接收到认证因子+TGT4,认证成功,服务端返回请求数据

使用自己服务端的NTML hash解密TGT4(server session key,客户端信息,票据到期时间)

使用解密出来的server session key解密认证因子2(服务器信息,票据到期时间...等信息)

AP-REP:客户端接收数据,成功建立通信连接

ac020962fec3

kerberos认证的时序图

PAC

在 Kerberos 最初设计的几个流程里说明了如何证明 Client 是 Client 而不是由其他人来冒充的但并没有声明 Client 有没有访问 Server 服务的权限因为在域中不同权限的用户能够访问的资源是有区别的。

所以 Microsoft 为了解决这个问题在实现 Kerberos 时加入了 PAC 的概念PAC 的全称是 Privilege Attribute Certificate特权属性证书。

PAC 可以理解为一串校验信息为了防止被伪造和串改原则上是存放在 TGT 里并且 TGT 由 KDC hash 加密。同时尾部会有两个数字签名分别由 KDC 密码和 server 密码加密防止数字签名内容被篡改。

ac020962fec3

Ticket

无敌小羊历险记
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kerberos认证服务理解
SwjtuPC的博客
04-13 436
  当系统服务模块分开时,比如有邮件服务,文件服务。传统认证模式是用户传输用户名和密码到相应的服务,服务认证通过后返回结果。这会产生一个问题,即用户的信息会在网络传输被劫持、攻击。当然这里可以采用非对称加密来加密数据、签名来确认用户身份。   比如甲想给乙发一个安全的保密的数据,那么应该甲乙各自有一个私钥,甲先用乙的公钥加密这段数据,再用自己的私钥加密这段加密后的数据.最后再发给乙,这样确保了内容即不会被读取,也不会被篡改. 因此理想情况下应该是客户端来进行验证。客户端像认证服务器发送自己的用户名,认
kerberos服务器
奔跑的羚羊
01-10 217
1.安装tcl [code="java"] wget http://downloads.sourceforge.net/project/tcl/Tcl/8.5.12/tcl8.5.12-src.tar.gz tar zvxf tcl8.5.12-src.tar.gz cd tcl8.5.12 cd unix ./configure make make install[/c...
【Windows事件日志】【WindowsServer2003】Kerberos_4 N/A
mintazoedeng的专栏
04-11 1825
(原文:http://support.microsoft.com/kb/558115) 摘要: 下面的文章将帮助您解决错误“Kerberos客户端收到来自服务器的一个KRB_AP_ERR_MODIFIED错误” 症状: 在访问NLB虚拟IP/NLB虚拟名称期间, 用户可能会提示要用户名和密码, 同时下面的错误可能会被写到本地系统事件日志: 事件ID: 4 事件
kerberos认证系统服务器,技术干货|Kerberos认证介绍及桌面单点
weixin_28960699的博客
08-11 629
在古希腊神话Kerberos是指:一只有着三个头的狗,这条狗守护在地狱之门外,防止活人闯入。Kerberos协议以此命名,巧合的是Kerberos协议也是有三个重要的部分组成,他们分别是:Client, Server, KDC(密钥分发心)。Client:需要使用Kerberos服务的客户端Service:提供具体服务的服务端KDC:负责分发密钥的密钥分配Kerberos官方解释来自百度百...
WIN2012案例系列3:还原后验证失败故障详解
weixin_33991418的博客
05-13 351
还原后票据验证失败故障详解上周使用BESR还原控制器,还原后检测状况,发现如下报错信息:发生了一个错误事件。EventID:0x40000004生成时间:05/10/201312:00:07事件字符串:Kerberos客户端收到了一个来自服务器hostname$的KRB_AP_ERR_MODIFIED错误。使用的目标名称为domain\hostname$。发...
三步轻松理解Kerberos协议
06-19
Kerberos协议是一种广泛应用于企业环境的身份验证协议,特别是在Active Directory (AD)环境,它为客户端和服务器应用提供了安全的认证服务。该协议的核心在于使用对称加密技术,确保了用户身份的安全验证,防止...
kerberosGui.zip
11-08
Kerberos协议的核心是基于票据授予服务(Ticket Granting Service, TGS)和认证服务器(Authentication Server, AS)。它的工作原理是用户首先通过AS获取一个会话密钥和TGT(Ticket Granting Ticket),然后使用TGT...
身份认证系统技术方案共23页.pdf.zip
12-03
6. **身份验证服务器**:如OpenID Connect和OAuth 2.0,这些协议提供了集认证服务,方案可能详细说明其工作流程和配置。 7. **风险评估**:现代认证系统往往包含风险分析,根据用户行为、设备信息等动态调整...
Windows 服务器和活动目录 - 渗透测试.pdf
最新发布
10-06
《Windows服务器和活动目录——渗透测试》是一份深入探讨网络安全渗透测试针对Windows服务器和活动目录(Active Directory)策略的文档。文档旨在提供各种技术手段的概述,帮助读者理解如何可能对Windows服务器和...
asktgs_compiled-master.zip 渗透工具
08-19
在这样的环境,票据(TGT,Ticket Granting Ticket)是Kerberos协议的一部分,用于验证用户身份并授权访问网络资源。攻击者可能会利用不安全的票据来假冒合法用户,从而实现更深层次的渗透。 描述提到的“票据...
kerberos:启用KDC和SPNEGO的Nginx
02-20
已启用KDC和SPNEGO的Nginx 先决条件 已在以下环境进行了测试 kdc:Ubuntu 20.04 Intel + Docker稳定版,kerberos客户端:Ubuntu 20.04 Intel kdc:Ubuntu 20.04 Intel + Docker稳定版,kerberos客户端:Macos 11.2 Apple Silicon kdc:Macos 11.2 Apple Silicon + Docker预览版3.1.0(60984),客户端:Macos 11.2 Apple Silicon 的Ubuntu sudo apt install krb5-user 苹果系统 brew install krb5 如何构建和运行(第一次) KDC和Nginx容器都使用alpine:latest基本映像。 如果您在M1 mac上构建它,它将使用高山arm64映像。 否则为
基于Kerberos的跨身份认证实验
Shirongliang的博客
12-03 1941
身份认证技术是身份认证技术的一种典型应用,随着云计算的快速发展和大规模部署,传统的网络架构发生了深刻的变革,带来了新的安全挑战。在云环境下,身份提供者、认证凭证和签发机构的多元化造成用户访问时需穿越多个安全,跨身份认证已成为云安全的难点问题。Kerberos是一种网络认证协议,它使用对称加密的技术实现网络的身份认证。目前大数据组件(如HDFS/ YARN/ HBase/Hive/Kafka/Spark 等等)基本上都默认支持Kerberos身份认证
Kerberos协议实现访问控制
u010585448的专栏
10-20 1498
Kerberos协议主要用于网络身份鉴别,该协议的特点是只要输入一次身份验证信息就可以访问多个服务,而且访问更加安全。其基本原理图如下所示: 该协议主要分为两大步骤。 第一步:Client获取TGT(ticket-grantingticket) 1.客户端输入身份信息向KDC(密钥分配心)发送请求,KDC根据客户端发送的身份信息向Ticket granting service请
linux kerberos认证,Kerberos 认证过程详解
weixin_36197581的博客
05-15 1780
kerboros认证过程如下:前提:client和server都在kdc上已注册.第一步 Authentication Service Exchange第二步 Ticket Granting Service Exchange第三步 Client/Server Exchange首先Client向kdc申请server服务,kdc查看server服务是受保护的服务,所以要验证client的身份,这就是...
Kerberos安全体系详解---Kerberos的简单实现
weixin_30411819的博客
05-16 536
1. Kerberos简介 1.1. 功能 一个安全认证协议 用tickets验证 避免本地保存密码和在互联网上传输密码 包含一个可信任的第三方 使用对称加密 客户端与服务器(非KDC)之间能够相互验证 Kerberos只提供一种功能——在网络上安全的完成用户的身份验证。它并不提供授权功能或者审计功能。 1.2. 概念 ...
openfeign原理_Spring Cloud Feign设计原理
weixin_39861918的博客
11-21 213
什么是伪装? Feign的文表意为“假装,伪装,变形”,是一个http请求调用的轻量级框架,可以以Java接口注解的方式调用Http请求,而不用像Java通过封装HTTP请求报文的方式直接调用.Feign通过处理注解,将请求模板化,当实际调用的时候,传入参数,根据参数再应用到请求上,进而转化成真正的请求,这种请求相对而言比较直观 .Fiign被广泛应用在Spring Cloud的解决方案,是...
NTLM及Kerberos认证流程
Y5neKO's blog
09-11 1631
NTLM及Kerberos认证流程 NTLM认证 1.概念 NTLM是NT LAN Manager的缩写,NTLM 是指 telnet 的一种验证身份方式,即问询/应答身份验证协议,是 Windows NT 早期版本的标准安全协议,Windows 2000 支持 NTLM 是为了保持向后兼容。Windows 2000内置三种基本安全协议之一。 2.认证流程 ①使用用户名和密码登录客户端,进行本地认证 ②客户端首先在本地加密当前用户的密码为密码散列,即NTLM Hash1 ③确认双方协议版本,客户端向服务
详解kerberos认证原理
大数据星球-浪尖
02-10 7072
前言Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,kerberos侧重于通信前双方身份的认定工作,帮助客户端和服务端解决“...
Kerberos认证协议认证授权流程-白话解读
SimGenius' Tech Blog
08-11 2926
本文参考了Wikipedia上面的Kerberos词条,对Kerberos的用户认证、服务授权、服务请求过程,用大白话解读。 1前言我相信有很多人看不懂Kerberos协议,所以我终于看懂以后用大白话说一遍,让那些看不懂的人看懂,让我忘了以后变成看不懂的人的时候再次看懂。 Kerberos是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。
Kerberos配置文件:认证协议概述、术语和使用方法简介
Kerberos是一种计算机网络认证协议,旨在通过安全手段对个人通信进行身份认证。该协议由麻省理工学院开发,采用客户端/服务器结构,并允许客户端和服务器端相互认证Kerberos可应用于防止窃听、防止重放攻击和保护...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值