Kerberos协议

最新推荐文章于 2024-03-10 21:41:05 发布
最新推荐文章于 2024-03-10 21:41:05 发布
阅读量1w 收藏 47
点赞数 8
分类专栏: 内网渗透 文章标签: windows安全认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40803858/article/details/91982172
版权

前言

此文章只是自己对该知识点对网上资源的总结。

Kerberos 协议

介绍

kerberos 是一种由MIT(麻省理工大学)提出的一种网络身份验证协议,它旨在通过使用加密技术为客户端/服务端应用程序提供强大的认证服务。
Kerberos是西方神话中守卫地狱之门的三头犬的名字。只所以使用这个名字是因为Kerberos需要三方的共同参与,才能完成一次事务处理。

主要的三个角色 (三只狗)

  1. Client
  2. Server
  3. KDC(Key Distribution Center) == DC

KDC 密钥分发中心

Authentication Server. ==AS. 身份验证服务

Ticket Granting Server . ==TGS 票据授予服务

该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取.修改和插入数据。
在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。

Kerberos会使用的端口

​ TCP和UDP的88端口:身份验证和票证授予

​ TCP和UDP的464端口:经典Kerberos Kpaswd(密码重设)协议

krbtgt账户

每个域控制器DC都有一个kebtgt的用户账户,此账户是KDC的服务账户用来创建票据授予服务(TGS)加密的密钥

粗略认证

  1. client向kerberos服务请求,希望获取访问server的权限。kerberos得到消息后,首先会判断client是否为可信赖的。(黑白名单)成功后,AS返回TGT给client 。
  2. Client 得到TGT后,继续向kerberos 请求,希望获取访问server的权限。kerberos又得到了这个消息,这时候通过client消息中TGT,判断出client拥有了这个权限,返回给client 访问server的权限 ticket
  3. client得到最后的ticket后,就可以访问server了,不过这个ticket只针对这一个server。
    在这里插入图片描述

详细过程

  1. Client—>KDC-AS
KRB_AS_REQ (Kerberos Authentication Service Request) - 客户端执行散列运算加密一个时间戳,然后发送给身份验证服务(KDC-AS)
client先向KDC的AS发送Authenticator1,内容为通过Client密码Hash加密的时间戳、Client ID、网络地址、加密类型等内容。
a. 客户端Client对用户口令执行散列运算转换为NTLM散列。此散列值(即用户密钥)成为客户端和KDC共享的长期密钥(long term key)。 
b. KRB_AS_REQ (Kerberos Authentication Service Request) - 客户端执行散列运算加密一个时间戳,然后发送给身份验证服务(KDC-AS)。

  1. KDC-AS—>Client

    KRB_AS_REP (Kerberos Authentication Service Response) - 
身份验证服务(KDC-AS)会解密时间戳,若解密成功(KDC-AS检查用户的信息(登录限制.组成员身份等)并创建票据授予票据(Ticket-Granting Ticket,TGT),
并向本地LSA (Local Security Authority)请求生成一个特殊的数据PAC,表明了客户端获得某个特定用户的口令(即验证了用户的身份)。
身份验证服务(KDC-AS)向客户端回复两条信息: 
    a. 短期会话密钥SessionKeya-kdc,用于客户端向KDC发起后续的请求 ,该消息经客户端的长期密钥(long term key)加密。(此短期会话密钥仅适用于该客户端和KDC之间)
    b. 票据授予票据(Ticket Granting Ticket,简称TGT),包含有关用户名.域名.时间和组成员资格等信息。
TGT票据使用KDC的krbtgt密钥进行加密,PAC使用krbtgt密钥进行进行签名,并且系统很少会验证PAC数据(在Windows环境中为krbtgt账户的NT-Hash)。

  2. Client->KDC-TGS

    KRB_TGS_REQ (Kerberos Ticket Granting Service Request) -
Client使用AS返回的”短期会话密钥”构建访问特定服务的请求,再把AS返回的”票据授予票据(TGT)”连同请求一起发送到票据授予服务TGS) 此过程叫KRB_TGS_REQ
Client-A使用AS返回的会话密钥SessionKeya-kdc构建访问特定服务的请求。客户端Client再把请求连同TGT一起发送到票据授予服务TGS。
(TGT是被KDC的krbtgt密钥加密的,所以Client无法解密)
黄金票据 - 此过程3可以伪造TGT(前提是获取krbtgt账号的口令散列值),宣称自己是域内任何账号,包括域管或者不存在的用户,这是黄金票据的原理。

  3. KDC-TGS—>Client

    KRB_TGS_REP (Kerberos Ticket Granting Service Response) -
票据授予服务TGS解密TGT和服务请求,然后如果请求被允许(KDC会打开票据,进行校验和检查。如果DC能够打开票据,并能通过校验和检查,那么会认为TGT为有效票据。此时TGT中的数据会被复制,以创建TGS票据ST),Server密码HASH加密sessionkey-tgs
票据授予服务TGS向客户端Client发送一个服务票据(Service Ticket,简称ST),包括两个部分: 
    a. 远程服务器的部分 - 包含请求用户的组成员资格、时间戳、用于客户端和远程服务器之间通信的会话密钥。使用远程服务器Server-B和KDC共享的长期密钥(long term key)加密这部分消息。
    b. 客户端的部分 - 包含用于客户端和远程服务器之间通信的会话密钥SessionKeya-b。(使用步骤2中AS回复的短期会话密钥(SessionKeya-kdc)加密这部分消息生成的会话密钥SessionKeya-b。)

  4. Client—>Server

RB_AP_REQ (Kerberos Application Request) - 
Client把服务票据(Service Ticket)中的服务器部分和请求一起发送到Server-B(用户要访问活动目录中的主机)。
远程服务器将直接接受该服务器票据,并不需要和KDC直接通信,因为该票据是用远程服务器和KDC共享的长期密钥加密过的。
解密成功(目标服务会使用自己的NTLM密码散列打开TGS票据,并提取用户的授权数据和会话密钥SessionKeya-b。)即表明KDC已经允许了此次通信。
白银票据 - 此过程5可以伪造TGS(前提是获取服务账号的口令散列值),宣称自己是域内任何账号,例如域管,这是白银票据的原理。

LSA(Local Security Authority) 本地安全机构

LSA 管理本地的安全策略、管理审计策略和设置、为用户生成包含SID和组权限关系的令牌。LSA的验证过程:LSA通过访问本地SAM(Security Accounts Manager)数据库,可以完成本地用户的验证。

情景

  1. 当用户按下“Ctrl + Alt + Del”之后,Winlogon被唤醒,同时跳出需要输入用户名和密码的登入身份凭据窗口(由Gina.ll来定义)

  2. 用户使用domain\user或UPN名之后,由Winlogon读取用户的身份凭据,并把它交给LSA(本地安全机构)

LSA在收到Winlogon的交给他的身份凭证后,并不是马上就交给Kerberos协议,还有可能是NTLM协议,因为我们知道用户登入有两种,一种是本地登入,一种是域登入。如果是本地登入的话,会使用本地数据库进行验证,如果是域登入的话,就会使用域控制器来进行身份验证。那LSA如何判断是本地登入还是域登入?

LSA的处理流程
1.LSA首先会把身份凭据交给SSPI,由该接口负责与Kerberos和NTLM服务沟通。
2. SSPI不能确定用户是本地登录还是域账户进行域登录。所以他会先把身份认证请求传递到Kerberos SSP。
3. Kerberos SSP会验证用户的登入目标是本地计算机还是域。如果是登录域,Kerberos SSP将继续处理。如果是本地计算机,即用户不是登录域,Kerberos SSP返回一个错误消息到SSPI,交回给GINA处理,使服务器登录不可用。
4. SSPI现在发送请求到下一个安全提供程序——NTLM。NTLM SSP会将请求交给Netlogon服务针对LSAM (Local Security Account Manager,本地安全账户管理器)数据库进行身份认证。使用NTLM SSP的身份认证过程与Windows NT系统的身份认证方法是相同的。

PAC(Privilege Access Certificate) 特权访问证书

KDC在向Kerberos客户端颁发TGT时,会向本地LSA请求生成一个特殊的数据结构,名为特权访问证书。这个PAC包含为kerberos客户端构建一个本地访问令牌所需要的用户信息,它同时使用域控制器服务器的私钥和KDC服务器的私钥来进行数字签署,以防假的KDC伪造PAC

PAC数据结构
1. 用户的登入时间以及用户会话额到期时间
2. 用户上一次设置密码的时间,以及允许他再次更改密码的时间
3. 用户的经典登入名,domain\user
4. 用户的显示名称
5. 指派给用户账户的经典NT登入脚本的名称(如果有的话)
6. 用户漫游配置文件的UNC路径
7. 客户端主目录的UNC路径
8. 用户的并发登入数
9. 在颁发PAC的KDC处,自从上一次成功登入以来,所允许的不成功登入尝试次
10. 用户的RID
11. 用户的"主要组"的RID,只限在POSIX使用
12. 在域中,将用户作为一个成员的组的数量,以及每个组的RID
13. 适用于用户的已知SID
14. 域的SID
15. 资源域的SID
除此之外,PAC中还嵌入了另一个名为用户账户控制的数据结构
0x516A
关注
  • 8
    点赞
  • 47
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kerberos协议理解
05-05
Kerberos协议理解
你所不知道的Kerberos 整理笔记(一)
weixin_34274029的博客
10-25 107
Kerberos诞生于美国麻省理工大学(MIT),它是作为Athena(雅典娜)项目的一部分开发出来的。Windosw xp 、windows server 2003使用的是Kerberos V5 Kerberos是西方神话中守卫地狱之门的三头犬的名字。只所以使用这个名字是因为Kerberos需要三方的共同参与,才能完成一次事务处理。它们是: 1、 kerbe...
一文搞懂Kerberos
聚集机器学习、信息安全
03-13 3321
Kerberos一词来源于古希腊神话中的Cerberus——守护地狱之门的三头犬,Kerberos是为TCP/IP 网络设计的可信第三方鉴别协议,最初是在麻省理工学院(MIT)为Athena 项目而开发的。Kerberos服务起着可信仲裁者的作用,可提供安全的网络鉴别,允许个人访问网络中不同的机器。
MS14-068域渗透
bailandawang123的博客
03-10 287
ms14068主要是通过伪造域管的tgt,将普通用户提升为域管用户,从而控制域控。
Kerberos协议认证数据包分析
qq_18811919的博客
02-04 2432
Kerberos协议认证数据包分析
从0到1的熟悉掌握——Kerberos协议
IerkeU的博客
05-01 2789
Kerberos,作为第三方网络认证协议,在客户端需要与服务端通信时,通过使用加密技术为客户端/服务端应用程序提供强大的认证服务。Kerberos协议在内网域渗透领域至关重要,白银票据、黄金票据、攻击域控等都离不开Kerberos协议
Kerberos认证原理与环境部署
匠人精神,持之以恒!
06-04 3747
官网:https://www.kerberos.org/ 官方文档:http://web.mit.edu/kerberos/krb5-current/doc/Kerberos中有以下一些概念需要了解:用户principal的形式:其中Instance是可选 的,通常用于更好地限定用户的类型。比如,一个管理员用户通常会有admin instance,即。下面是指代用户的 一些principal的例子: 2)服务principal 用户principal的形式:下面是指代服务principal的例子: 三、Ke
内网安全——Kerberos协议详细全解
m0_67189356的博客
09-21 4317
Kerberos认证详解
Kerberos协议原理
weixin_37104668的博客
06-15 1690
Kerberos协议原理
基于Kerberos认证的TCP通信
eyoulc123的博客
11-15 3213
1 前言kerberos是一种安全协议,它涉及到三个部分:KDC、 Server端 与 Client端的代码。对于Kerberos 的整个认证过程,有很多介绍。但是对于如何在一个已有TCP程序中进行kerberos认证,一直不知道如何使用。前段时间在oracle的文件中,找到一个server与client的样例,结合这个用例,将它进行改写,便于理解。 前置说明: KDC需要保证能正常运行 有对应的
Kerberos 的安装和使用
u011250186的博客
11-25 3533
Kerberos 的安装和使用
三步轻松理解Kerberos协议
06-19
Kerberos 是一种身份验证协议,它作为一种可信任的第三方认证服务,通过使用对称加密技术为客户 端/服务器应用程序提供强身份...在域环境下,AD域使用Kerberos协议进行验证,熟悉和掌握 Kerberos协议是域渗透的基础。
论文研究-基于动态口令体制的Kerberos协议改进 .pdf
08-24
基于动态口令体制的Kerberos协议改进,黄建华,何希,本文介绍了Kerberos认证协议的工作原理,分析了该协议的局限性。而后结合了 算法生成动态验证口令实现动态身份认证的方法,改进了Ker
kerberos协议简介.pdf
07-11
kerberos协议简介.pdf 学习资料 复习资料 教学资源
域渗透中的DPAPI和Kerberos协议.pdf
08-08
议题分享主要介绍了域渗透中数据保护API架构逻辑和Kerberos认证协议的通信流程,同时从攻击者的角度谈了DPAPI和Kerberos协议的利用,最后给出常见攻击思路的防御和缓解措施。 1.1 DPAPI架构 1.2 DPAPI加密机制 1.3 ...
大学生创新创业训练计划经验分享.zip
04-25
大学生创新创业训练计划(以下简称为“大创计划”)是一项旨在提升大学生创新能力和创业精神的实践活动。通过这项计划,学生可以在导师的指导下,自主开展研究性学习和创业实践。下面我将分享一些关于大创计划的经验和建议。
node-v12.22.3-x86.msi
最新发布
04-25
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
毕业设计-The coding solutions of Leetcode and 剑指Offer using .zip
04-25
这里为你收集整理了关于毕业设计、课程设计可参考借鉴的资料一份,质量非常高,如果你投入时间去研究几天相信肯定对你有很大的帮助。到时候你会回来感谢我的。 本资源是经过本地编译测试、可打开、可运行的项目、文件或源码,可以用于毕业设计、课程设计的应用、参考和学习需求,请放心下载。 祝愿你在这个毕业设计项目中取得巨大进步,顺利毕业! 但还需强调一下,这些项目源码仅供学习和研究之用。在使用这些资源时,请务必遵守学术诚信原则和相关法律法规,不得将其用于任何商业目的或侵犯他人权益的行为。对于任何因使用本资源而导致的问题,包括但不限于数据丢失、系统崩溃或安全漏洞,风险自担哦!
【微信小程序毕业设计】宠物店商城系统开发项目(源码+演示视频+说明).rar
04-25
【微信小程序毕业设计】宠物店商城系统开发项目(源码+演示视频+说明).rar 【项目技术】 微信小程序开发工具+java后端+mysql 【演示视频-编号:282】 https://pan.quark.cn/s/cb634e7c02b5 【实现功能】 本系统实现的是和宠物相关的信息管理和发布,加入了商品销售的功能。操作角色为管理员和用户、商家,管理员的功能为用户管理、商家管理、宠物分类管理、宠物信息管理、商品分类管理、宠物用品管理、项目类型管理、服务项目管理、宠物日志管理、订单管理等;用户的功能为购买宠物、商品、预约服务发表日志管理订单等。商家功能为提供宠物、宠物用品、宠物服务,管理订单和服务预约等。
kerberos协议
01-28
Kerberos协议是一种网络身份验证协议,旨在提供在开放的非安全网络中认证识别用户身份信息的方法。它使用密钥加密技术为客户端/服务端应用程序提供强身份验证。Kerberos协议需要三个角色的共同参与才能完成一次认证流程。这三个角色分别是客户端、认证服务器(AS)和票据授权服务器(TGS)。 Kerberos协议认证流程如下: 1. 客户端向认证服务器发送身份验证请求。 2. 认证服务器验证客户端的身份,并生成一个称为票据授权票据(TGT)的票据,该票据包含客户端的身份信息和一个会话密钥。 3. 认证服务器将TGT发送给客户端。 4. 客户端使用自己的密码解密TGT,并获取会话密钥。 5. 客户端向票据授权服务器发送服务请求,并附上TGT。 6. 票据授权服务器验证TGT的有效性,并生成一个称为服务票据(ST)的票据,该票据包含客户端的身份信息和一个用于与服务端通信的会话密钥。 7. 票据授权服务器将ST发送给客户端。 8. 客户端将ST发送给服务端。 9. 服务端验证ST的有效性,并使用会话密钥与客户端进行通信。 通过以上流程,Kerberos协议实现了客户端和服务端之间的安全通信,保护了用户的身份信息和通信内容的机密性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值