域渗透-kerberos协议 学习篇(1)

已于 2022-04-30 12:38:13 修改
阅读量860 收藏 3
点赞数 13
分类专栏: kerberos协议 文章标签: 安全
于 2022-04-17 15:20:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44747030/article/details/124222992
版权

AS_REQ&AS_REP

前言

域渗透的本质就是协议,在最近的学习中发现自己对域渗透kerberos协议这块有点模糊了,所以又回头看了一下,这次顺便记录下来,加深印象。
我会把域渗透中常见关于kerberos协议利用的方法和自己的理解都写清楚。方便自己下次看,也欢迎小伙伴一起学习。

这篇文章会先写kerberos的前2个阶段,也就是AS_REQ和AS_REP,会将自己的理解和这个阶段常见的攻击手法都写下来。

kerberos 认证流程

kerberos认证过程中会涉及到以下几个角色:

1、域控

2、KDC

3、AD(活动目录)

4、client

5、server

KeyDistribution Center秘钥分发中心简称KDC,默认是安装在域控制器(DC)上,其中KDC中又包含了Authentication Service(身份验证服务),简称AS,用于KDC对Client认证和Ticket Grantng Service (票据授予服务),简称TGS,用于KDC向Client和Server分发Session Key。

Active Directory(活动目录),简称AD,用于存储用户、用户组、域相关的信息。
Client 客户端,指用户。
Server 服务端,可能是某台计算机,也可能是某个服务。

kerberos认证的大体流程为:

在这里插入图片描述
大概的流程就是这样,其中会有一些细节。

在AS_REQ&AS_REP认证的时候具体过程:
AS_REQ
client访问域内的服务,本机会向KDC的AS 认证服务发送一个AS_REQ请求。请求主要包含用户Hash加密的时间戳、请求用户名、协商Hash的加密类型等信息。
AS_REP
AS_REP在收到该请求后会先访问AD,查询是否有该用户,如果有则取出用户的hash 用来解密AS_req中PA_DATA中PA-ENC-TIMESTAMP的内容并生成一个随机密钥session_key as,使用client的hash 加密session_key as,作为TGS_REQ阶段的部分内容发送给TGS。还有一部分内容为krbtgt用户hash加密的session_key as,timestamp,client-info为TGT的内容。(这部分的session_key as 在下一阶段被解密出来会用来加密server_info,client_info,timestamp。会用来与TGT中的内容对比,如果正确,也有权限才会给ST)

AS_REQ

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

AS_REP

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

AS_REQ&AS_REP阶段常见安全问题

1、用户名枚举

kerbrute_windows_amd64.exe userenum --dc 192.168.3.144 -d rootkit.org top-usernames-shortlist.txt
该工具会对域控制器的88号端口发送kerberos-pre-auth认证
当用户名存在,密码错误,会在返回包kerberos-krb-error-error_code字段中出现
error-code: eRR-PREAUTH-REQUIRED (25)
当用户名不存在时kerberos-krb-error-error_code字段中出现
error-code: eRR-C-PRINCIPAL-UNKNOWN (6)
利用该特征枚举出正确的域用户名
在这里插入图片描述

2、密码喷洒

kerbrute_windows_amd64.exe passwordspray -d rootkit.org top-usernames-shortlist.txt admin!@#45

top-usernames-shortlist.txt 爆破成功的域用户名
admin!@#45 喷洒的密码
登录成功,会产生日志(4768 - A Kerberos authentication ticket (TGT) was requested)
在这里插入图片描述

3、AS-REP Roasting

kerberos身份预认证默认情况下是开启的,KDC会记录密码错误次数,防止在线爆破。密码错误次数多了,会被锁定账号,所以千万不要一直对一个域用户去猜解密码,可以使用上面介绍的密码喷洒的方式,对不同的用户,使用同一个密码。

如果关闭了预身份验证后,攻击者可以指定用户去请求票据,域控不会校验AS_ERQ阶段的内容,在AS_REP阶段会返回用户hash加密的session key和krbtgt hash加密的TGT。所以攻击者拿到session key,则可以进行离线爆破。

设置为不接受kerberos身份预认证
在这里插入图片描述
rubeus.exe获得用户Hash
Rubeus.exe asreproast

在这里插入图片描述
将as_rep中的hash 复制下来
以固定的格式
$krb5asrep$23${0}@{1}:{2}", userName, domain, repHash

hashcat爆破

hashcat -m 18200 1.txt pass.txt --force
在这里插入图片描述
爆破成功
在这里插入图片描述

未完待续…

evilxpl
关注
  • 13
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
内网渗透Kerberos认证
include_voidmain的博客
03-04 525
声明以下内容,均为文章作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。长白山攻防实验室拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明长白山攻防实验室允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。0x01 前言Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不
渗透基础知识(七)之Kerberos协议认证原理
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-05 987
如果你对内网渗透有所了解的话,那么你对Kerberos协议有所耳闻吧,对于kerberos协议所涉及到的黄金票据,白银票据,MS14-068,ptt,ptk等都有所了解吧。如果你只知其表,而不知其里,那么本文章将带你一起深入了解一下背后kerberos协议的认证原理。请你一定不要错过哦!
渗透-kerberoast Attack
a3320315的博客
05-31 700
攻击简介 过程: 查询SPN,找到有价值的SPN,需要满足以下条件: 1、该SPN注册在用户帐户(Users)下 2、用户账户的权限很高 3、请求TGS 4、导出TGS 5、暴力破解 SETSPN setspn -A HOST/AD.test.com test #给账号申请SPN 机器:AD.test.com 帐号:test 服务:HOST 若有些服务有端口,则可以直接这样写: setspn -A HTTP/AD.test.com:80 test setspn -
内网渗透——WINDOWS认证机制之KERBEROS
我们为什么能在这里遇到?
11-12 1281
参考:ares-x 渗透学习(二) KERBEROS协议
内网渗透kerberos协议解析
未完成的歌~的博客
07-13 704
Kerberos协议是由麻省理工学院(MIT)开发的一种网络身份验证协议,用于在非安全网络中实现安全的身份验证。其设计目标是通过密钥系统为客户与服务器应用程序提供强大的认证服务。Kerberos协议要解决的实际上就是一个身份认证的问题,顾名思义,当一个客户机去访问一个服务器的某服务时,服务器如何判断该客户机是否有权限来访问本服务器上的服务,同时保证在该过程中的数据包即便被拦截或者被篡改也不影响整个通讯的安全性。
渗透中的DPAPI和Kerberos协议.pdf
08-08
议题分享主要介绍了渗透中数据保护API架构逻辑和Kerberos认证协议的通信流程,同时从攻击者的角度谈了DPAPI和Kerberos协议的利用,最后给出常见攻击思路的防御和缓解措施。 1.1 DPAPI架构 1.2 DPAPI加密机制 1.3 ...
spring-security-kerberos
05-13
样本可以在spring-security-kerberos-samples 。 有关更多信息,请查阅参考文档。 从源头建造 Spring Security Kerberos使用基于的构建系统。 在下面的说明中,。/ 是从源树的根调用的,并用作构建的跨平台,自包含...
apacheds-kerberos-codec-2.0.0-M15-API文档-中文版.zip
04-23
赠送jar包:apacheds-kerberos-codec-2.0.0-M15.jar; 赠送原API文档:apacheds-kerberos-codec-2.0.0-M15-javadoc.jar; 赠送源代码:apacheds-kerberos-codec-2.0.0-M15-sources.jar; 赠送Maven依赖信息文件:...
python-kerberos-1.1-15.el7.x86_64.rpm
11-30
离线安装包,亲测可用
渗透-kerberos协议分析
whojoe的博客
07-13 1186
渗透-kerberos协议分析环境搭建名词解释认证过程AS-REQ抓包的真实情况AS-REP用户名和密码正确(第二个包)用户名不正确(第一个包)用户名正确(第一个包)密码不正确(只有第一个包,无第二个包)TGS-REQTGS-REPST认证参考文章 文章中对之前的文章提出了一些疑问,如果发现有错误,还望斧正 环境搭建 这里的环境搭建就不再细说 主机 ip 用户 主机名 控 192.168.164.133 administrator ad.test.com 内主机 192.168.
渗透总结
river
12-19 1万+
渗透总结 学习并做了一段时间网络渗透,给我直观的感受就是思路问题和耐心,这个不像技术研究,需要对一个点进行研究,而是遇到问题后要从多个方面思考,寻找"捷径"思路,只要思路正确,有足够有耐心,总会有所突破。现在将自己遇到的技术点及相关知识做一个总结,不足之处,请批评指正。 ​ -----一只萌新 环境搭建不再详述,参考: > AD环境的搭建 基于Ser...
Kerberos端口用户枚举与密码喷洒
问题很多的小明
10-13 1446
环境 控环境: hacktest.com 10.211.55.3 内主机或者非内主机:10.211.55.6 Kerberos 88端口开启: 工具准备 https://github.com/ropnop/kerbrute/releases 准备字典:111.txt 用户枚举 kerbrute_windows_amd64.exe userenum -d hacktest.com 111.txt 密码喷洒 kerbrute_windows_amd64.e
关于Kerberos认证的一些攻击手法学习总结
渗透测试研究中心
05-09 1080
Kerberos认证流程前言本文主要分享最近学习的关于Kerberos认证的一些攻击手法,以自我的理解为主,从原理理解切入到基本工具利用来阐述,个人的理解分析较为啰嗦,嫌太兀长的可以跳着看就好,还请各位谅解。如有错误,请师傅们提出更正对于Kerberos认证流程只是简单的描述带过,下面有很多细节没有说明,比如PAC,S4U2SELF(委派),S4U2PROXY(委派)等。详细的解读推荐翻阅d...
渗透 | kerberos认证及过程中产生的攻击
st3pby的博客
02-20 6955
Windows认证一般包括本地认证(NTLM HASH)和认证(kerberos)。认证的原理网上有很多文章。如果喜欢听视频课程的话,这里推荐倾旋师傅的分享课本文章主要内容是Kerberos认证过程中产生的攻击。Kerberos是由麻省理工学院提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。Kerberos协议有两个基础认证模块:和,以及微软扩展的两个认证模块S4U和PAC。kerberos是一种基于票据的认证方式。
windows 认证 Kerberos详解
Sp4rkW的博客
02-19 1万+
windows 在工作中经常遇到,一直没有好好总结过,乘着最近有时间,将自己所理解的与大家分享一下 0x01、 Kerberos认证简介 windows 对于身份验证有多种方式,比如现在笔记本很常见的指纹解锁开机。在中,依旧使用 Kerberos 作为认证手段。 Kerberos 这个名字来源于希腊神话,是冥界守护神兽的名字。 Kerberos 是一个三头怪兽,之所以用它来命名一种完全认证...
cas ad sso集成问题记录
createamind 的专栏
03-07 620
官方文档:https://wiki.jasig.org/display/CASUM/SPNEGO   The advantage of configuring SPNEGO is that users that are logged in to the AD domain will be logged in automatically at CAS, without any inter...
Kerberos KDC权限提升漏洞总结
m0_38103658的博客
04-13 879
Kerberos KDC权限提升漏洞总结 0x00 漏洞起源 Windows Kerberoskerberos tickets中的PAC(Privilege Attribute Certificate)的验证流程中存在安全漏洞,低权限的经过认证的远程攻击者利用该漏洞可以伪造一个PAC并通过Kerberos KDC(Key Distribution Center)的验证,攻击成功使得攻击者可以提...
安全Kerberos相关问题进行故障排除| 常见错误和解决方法
热门推荐
九师兄
01-07 2万+
1.概述 转载 为了学习Kerberos相关问题进行故障排除| 常见错误和解决方法 2.总结 可以用来帮助诊断Kerberos相关问题的原因并实施解决方案的指南。 3. 症状 单击症状链接转到相应的疑难解答部分。 2.1 Kerberos tgt javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: F.
java module 验证,Java Kerberos身份验证似乎有效,但仍被拒绝
weixin_42356073的博客
02-24 1266
I've got a Java client app and a Java server app, and I'm trying to authenticate to the server via Kerberos. The client basically uses http-components and SPNEGO to make a HTTP GET call, but I always ...
ipsec实验-kerberos认证
最新发布
04-05
1. 配置Kerberos服务器:首先,需要设置一个Kerberos服务器,该服务器将负责用户和服务器之间的身份验证。配置Kerberos服务器包括创建Kerberos数据库、设置主要的Kerberos服务器和Kerberos客户端等。 2. 配置IPsec...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值