Kerberos认证流程详解

已于 2024-09-23 18:37:59 修改
阅读量79 收藏
点赞数
分类专栏: kerberos 文章标签: java 安全
于 2024-09-23 18:37:13 首次发布
原文链接:https://zhuanlan.zhihu.com/p/713444314
版权

Kerberos 是一种网络认证协议,是通过密钥系统为客户机/服务器应用程序 提供认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址 的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意的读取、 修改和插入数据。Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。

Kerberos协议中的角色

在Kerberos协议中,存在三个主要角色:

  1. 客户端(Client):发送请求的一方。
  2. 服务端(Server):接受请求的一方。
  3. 密钥分发中心(Key Distribution Center, KDC):
    包括认证服务器(AS)和票据授予服务器(TGS)两个部分。
  • 认证服务器(Authentication Server, AS):AS 的作用就是验证 Client 的身份(确认你是身份证上的本人),验证通过就给一张 TGT(Ticket Granting Ticket)票给 Client。
  • 票据授予服务器(Ticket Granting Service, TGS):TGS 的作用就是通过 AS 发给 Client 的票(TGT)换取访问 Server 端的票 ST(Server Ticket)。ST也有资料称之为 TGS Ticket。

KDC 默认安装在**域控**中,而 Client 和 Server 为域内的用户或者服务,如 web 应用、数据库服务器和邮件服务器等。Client 是否有权限访问 Server 端的服务由 KDC 发放的**票据**来决定。如果把 Kerberos 中的票据比作一张火车票,那么 Client 端就是乘客,Server 就是火车, 而 KDC 就是火车站的认证系统。如果 Client 端的票据是合法的(由你本人身份证购买并且 由你本人持有)同时有访问
Server 端服务的权限(车票对应车次正确)那么你才能上车。当然和火车票不同的是 Kerberos 中有两张票据,而火车票只有一张。

Kerberos认证流程

当 Client 想要访问 Server 上的某个服务时,需要先向 AS 证明自己的身份,然后通过 AS 发放的 TGT 向Server 发起认证请求。这个过程分为三块:

The Authentication Service Exchange: Client 与 AS 的交互
The Ticket Granting Service Exchange: Client 与 TGS 的交互
The Client/Server Authentication Exchange: Client 与 Server 的交互

Kerberos的认证流程大致可以分为以下几个步骤:

  1. 客户端向AS请求TGT
  • 客户端通过命令kinit USERNAME,将信息发送给AS。
  • AS检查用户是否在AD(Account Database)中,若存在,KDC将生成一个密钥(KEY),用于客户端与TGS的通信。
  • AS使用其密钥加密TGT,并将TGT和另一条由客户端密钥加密的信息(包含TGS Session Key)一起返回给客户端。
  • 客户端解密信息并获取TGS Session Key
  • 客户端使用本地密钥解密第二条信息,获取TGS Session Key。
  • 然后将TGT以及通过TGS Session Key加密的认证信息转发给TGS。
  • TGS验证TGT并生成服务票据
  • TGS使用自己的密钥从TGT中解密出TGS Session Key,并用其解密客户端的认证信息并进行检查。
  • TGS生成一个HTTP Session Key,使用它加密一条信息(HTTP Ticket),并用TGS Session Key加密另一条信息(包含HTTP Session Key),一起发送给客户端。
  • 客户端使用服务票据访问服务端
  • 客户端利用TGS Session Key解密信息,获取HTTP Session Key。
  • 然后将HTTP Ticket以及通过HTTP Session Key加密的认证信息发送给HTTP服务。
  • 服务端验证票据并提供服务
  • HTTP服务用自身密钥解密出HTTP Ticket的信息得到HTTP Session Key,并利用它解密出认证信息。
  • 若认证成功,客户端即可与远程HTTP服务完成认证,进行后续通信。

简化认证流程

Kerberos的认证过程可以简化为以下步骤:

  1. 客户端向KDC请求服务票据
  • 客户端向AS发送自己的用户名,AS验证后生成TGT并发送给客户端。
  • 客户端使用TGT向TGS请求服务票据。
  • 客户端使用服务票据访问服务
  • 客户端将服务票据发送给服务端,服务端验证票据后提供服务。

绕过Kerberos认证

MS14-068

  • CVE编号:CVE-2014-6324

了解PAC这个东西,PAC是用来验证Client的访问权限的,它会被放在TGT里发送给Client,然后由Client发送给TGS。Windows域中使用kerberos协议过程中,为了让服务器判断Client是否有权限访问服务,微软在Windows平台上对Kerberos协议进行了一些扩充,即在协议中增加了PAC(Privilege Attribute Certificate),特权属性证书,也就是这个PAC造成了MS14-068这个漏洞。

MS14-068是密钥分发中心(KDC)服务中的Windows漏洞。它允许经过身份验证的用户在其Kerberos票证(TGT)中插入任意的PAC(表示所有用户权限的结构)。该漏洞位于kdcsvc.dll域控制器的密钥分发中心(KDC)中。普通用户可以通过呈现具有改变了PAC的Kerberos TGT来获得票证,进而伪造票据获得管理员权限。

  • 利用条件
  1. 攻击者需要获取域内普通用户的账号密码。
  2. 攻击者需要知道该用户的SID(安全标识符)。
  3. 目标服务器未安装KB3011780补丁。
  4. 攻击者需要知道域控制器的IP地址。
  • 利用工具
  1. Pykek:Pykek是一个利用Kerberos协议进行攻击的工具包,可以生成高权限的Kerberos票据。结合mimikatz等工具,攻击者可以将票据注入到内存中,从而提升权限。
    https://github.com/mubix/pykek
  2. impacket:impacket是一个强大的Python库,用于处理网络协议,其中的goldenPac.py工具可以用来生成并利用Kerberos票据进行权限提升。
    https://github.com/fortra/impacket
  3. Metasploit:Metasploit是一个开源的漏洞利用框架,其中包含了针对MS14-068的漏洞利用模块,可以方便地进行漏洞利用。

黄金票据

在Windows的kerberos认证过程中,Client将自己的信息发送给KDC,然后KDC使用krbtgt用户的Hash作为密钥进行加密,生成TGT。那么如果获取到了krbtgt的Hash值,就可以伪造任意的TGT。因为krbtgt只有域控制器上面才有,所以使用黄金凭据意味着你之前拿到过域控制器的权限,黄金凭据可以理解为一个后门。黄金票据在利用过程中由 KDC颁发 TGT,并且在生成伪造的 TGT 得 20 分钟内,TGS 不会对该 TGT 的真伪进行

前提:

攻击者需要获得管理员访问域控制器的权限,并抓取到KRBTGT的哈希值。

制作条件

制作黄金票据通常需要以下条件:

  1. 域名称:需要知道目标域的DNS根域名。
    ipconfig/all

  1. 域的SID值:SID(安全标识符)是每个域的唯一标识符。
    whoami /all

  1. KRBTGT账户NTLM密码哈希:KRBTGT是Kerberos认证过程中的一个重要账户,其密码哈希是制作黄金票据的关键信息。
    登上域控,上传mimikatz,抓取krbtgt用户的Hash值
    lsadump::lsa /patch // 专用于在域控制器上导出用户密码或hash以及能够获取域sid

  1. 伪造用户名:黄金票据允许攻击者伪造一个有效的Kerberos票据,因此需要一个伪造的用户名,以模拟合法用户的身份进行认证。
使用mimikatz制作黄金票据
kerberos::golden /user:需要伪造的域管理员用户名 /domain:域名 /sid:域sid /krbtgt: krbtgt用户的Hash /ticket:想要生成的TGT凭证,任意填写

或者

golden_ticket_create -d 域名 -k krbtgt账户的密码hash值 -u 任意的用户名 -s 域SID -t 路径,将生成的票据保存在指定文件中,任意填写

5.再将生成的票据注入内存

kerberos::ptt 生成的TGT凭证

白银票据

白银票据不同于黄金票据,白银票据的利用过程是伪造 TGS,通过已知的授权服务密码生成一张可以访问该服务的 TGT,因为在票据生成过程中不需要使用KDC,所以可以绕过域控制器,且很少留下日志。白银票据依赖于服务账号的密码散列值。

伪造条件

伪造白银票据通常需要以下条件:

  1. 域名
  2. 域SID
  3. 目标服务器的FQDN
  4. 可利用的服务
  5. 服务账号的NTLM Hash
  6. 要伪造的用户名
    登录域控,利用工具mimikatz中的模块进行收集信息,这里简单举例
    privilege::debug 管理员身份运行才能进行提权操作
    sekurlsa::logonpasswords 抓取内存中保存的用户所有凭据
    sekurlsa::msv 抓取内存中保存的用户Hash

利用工具mimikatz进行伪造

kerberos::golden /domain:域名 /sid:域SID /target:域控制器名。即FQDN /rc4:server机器的hash /service:可利用的服务 /user:要伪造的用户名,任意填写

黄金票据和白银票据的区别

伪造票据

黄金票据伪造的是TGT
白银票据伪造的是ST

加密方式

白银票据由机器账户的hash加密生成
黄金票据由krbtgt的hash加密生成

获取的权限

黄金票据可以获得任意kerberos访问权限
白银票据只能获得部分服务的访问权限

认证流程

黄金票据同TGS交互,不同AS交互
白银票据不同AS也不同TGS交互,直接访问server

构造条件

黄金票据:域名、域sid、krbtgt用户hash、伪造的用户名
白银票据:域名、域sid、dc机器账户hash、伪造的服务、伪造的用户名
凌不了云
关注
专栏目录
Kerberos 认证流程详解
m0_57836225的博客
09-25 522
Kerberos 是一种基于对称密钥加密的网络认证协议,它的设计目标是在不安全的网络环境中为用户和服务提供安全认证和授权。Kerberos 协议的核心是一个密钥分发中心(Key Distribution Center,KDC),它负责管理用户和服务的密钥,并为用户和服务之间的通信提供认证和授权。Kerberos 是一种强大的网络认证协议,它提供了安全、高效、可扩展的认证机制。了解 Kerberos 认证流程对于保障网络安全至关重要。
内网渗透-Kerberos认证流程详解
2401_83799022的博客
05-24 645
kerberos是一种计算机网络认证协议,他能够为网络中通信的双方提供严格的身份验证服务,确保通信双方身份的真实性和安全性。不同于其他网络服务,kerberos协议中不是所有的客户端向想要访问的网络服务发起请求,他就能够建立连接然后进行加密通信。而是在发起服务请求后必须先进行一系列的身份认证,包括客户端和服务端两方的双向认证,只有当通信双方都认证通过对方身份之后,才可以互相建立起连接,进行网络通信。
linux kerberos认证,Kerberos 认证过程详解
weixin_39923572的博客
05-15 302
kerboros认证过程如下:前提:client和server都在kdc上已注册.第一步 Authentication Service Exchange第二步 Ticket Granting Service Exchange第三步 Client/Server Exchange首先Client向kdc申请server服务,kdc查看server服务是受保护的服务,所以要验证client的身份,这就是...
安全认证Kerberos详解
Shawn的个人博客
04-16 4103
Kerberos是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
Kerberos认证详解
huohaowen的博客
02-19 943
来讲一下红队一定要懂的Kerberos认证
[kerberos] kerberos 认证详解
qq_42987796的博客
12-13 1348
kerberos 认证的白话版
kerberos认证
热门推荐
多头注意力探索Now
02-16 2万+
简言 Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全kerberos侧重于通信前双方身份的认定工作,帮助客户端和服务端解决“证明我自己是我自己”的 什么是Kerberos协议 kerberos是一种计算机网络认证协议,他能够为网络中通信的双方提供严格的身份验证服务,确保通信双方身份的真实性和安全性。不同于其他网络服务,kerberos协议中不是所有的客户端向想要访问的网络服务 发起请求,他就能够建立连接然后进行加密通信。而是在发起服..
详解kerberos认证原理
大数据星球-浪尖
02-10 7218
前言Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全kerberos侧重于通信前双方身份的认定工作,帮助客户端和服务端解决“...
Kerberos认证协议详解——基础篇
weixin_42497762的博客
09-10 1135
本文还有配套的精品资源,点击获取 简介:Kerberos是一种网络认证协议,通过第三方认证服务器实现用户与服务器之间的安全交互。本文将详细介绍Kerberos的基本原理、工作流程及其在实际应用中的重要性。文章首先介绍Kerberos的简介、工作原理和组件,然后讨论其优势、应用场景以及面临的挑战与改进。Kerberos在企业网络环境和一些软件服务中得到了广泛应用,对于网络安全...
Python confluent kafka客户端配置kerberos认证流程详解
01-19
其中第一种SASL/GSSAPI的认证就是kerberos认证,对于java来说有原生的支持,但是对于python来说配置稍微麻烦一些,下面说一下具体的配置过程,confluent kafka模块底层依赖于librdkafka,这是使用c编写的高性能的...
Kerberos 认证协议详解
02-14
Kerberos v5协议的运行依赖于密钥分发中心(KDC),它作为整个认证过程的核心组件,负责管理密钥和票据的分发。KDC提供一种机制,允许用户和服务端通过一个认证服务器(AS)和一个票据授权服务器(TGS)进行通信,这...
kerberos认证过程,AD域认证
06-12
#### 三、Kerberos认证流程 Kerberos认证过程主要分为以下几个阶段: 1. **认证请求(AS_REQ)**:客户端向KDC的认证服务器(Authentication Service, AS)发送认证请求,其中包含客户端的身份信息。 2. **认证响应(AS...
Kerberos 认证流程
05-31
### Kerberos认证流程详解 #### 一、Kerberos认证机制概述 Kerberos是一种广泛应用于网络环境下的安全协议,其主要目的是为了实现用户和服务之间的安全认证。它通过使用对称密钥加密技术来保护数据的安全性和完整...
工厂模式的介绍及实现
户伟伟的博客
09-25 140
工厂模式(Factory Pattern)是一种创建型设计模式,提供了一种创建对象的接口,而无需显式指定对象的具体类。在这种模式中,我们通过定义一个工厂类,专门负责生产各种类型的对象,这样我们可以避免直接在代码中实例化具体类,使代码更具扩展性、灵活性和维护性。解耦:客户端代码与具体的类解耦,避免了对象创建逻辑的重复。简化对象创建:通过工厂统一管理对象的创建逻辑,使代码更清晰易懂。扩展性强:新增类时,只需在工厂中增加创建逻辑,而不必修改现有的业务代码。
Spring Boot 学习和使用
cesske的博客
09-24 1174
Spring Boot是一款开源的Java Web应用框架,旨在简化Spring应用的初始搭建以及开发过程。Spring Boot通过整合Spring技术栈中的诸多关键组件,为开发者提供了一种快速、简便的Spring应用开发方式。它遵循“约定优于配置”的原则,通过自动配置、起步依赖和内置的Servlet容器,极大地简化了传统Spring应用的配置和部署过程。Spring Boot通过其自动化配置、起步依赖、内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。
基于JavaWeb开发的Java+SpringMvc+vue+element实现驾校管理系统详细设计
央顺科技官方博客
09-24 985
机遇与挑战始终并存。在开放的互联网平台面前,驾校预约管理系统的信息管理面临着巨大的挑战。传统的管理模式局限于简单数据的管理,无法适应不断变化的市场格局。在早期阶段,在将计算机技术和网络技术融入驾校预约管理系统数据管理方法之前,所有管理方式都通过人工操作完成了管理信息的。系统管理也都将通过计算机进行整体智能化操作,对于驾校预约管理系统所牵扯的管理及数据保存都是非常多的,举例像所有详细信息包括,管理员;首页、个人中心、学员管理、驾校教练管理、驾校车辆管理、预约管理、取消预约管理、驾校公告管理、系统管理。
Java Alibaba Druid 数据库连接池
miracle的专栏
09-24 783
Java开发中,数据库连接池是性能优化的重要一环。而作为一款强大的数据库连接池解决方案,凭借其和对多种数据库的支持,成为了许多企业级应用的首选。本篇文章将介绍Druid的核心特性,并结合不同数据库的实际用法。
JPA+Thymeleaf增删改查
最新发布
y050505的博客
09-25 483
在使用JPA(Java Persistence API)和Thymeleaf作为模板引擎进行Web开发时,实现增删改查(CRUD)操作是一个常见的需求。下面,我将简要介绍如何使用Spring Boot框架结合JPA和Thymeleaf来实现这一功能。
Kerberos认证机制详解
Kerberos是一个强大且复杂的认证系统,通过巧妙的密钥管理和多阶段认证流程,确保了网络服务的安全性。其核心思想是通过共享秘密实现身份验证,并通过加密和票证机制来防止各种安全威胁。了解和掌握Kerberos的工作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值