KERBEROS 身份验证协议

最新推荐文章于 2024-06-03 00:45:59 发布
最新推荐文章于 2024-06-03 00:45:59 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: 安全技术 文章标签: 加密 解密 windows c 服务器 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xman_78tom/article/details/4754299
版权

 

简介

KERBEROS 协议是用于域环境下的身份验证协议( Windows 2000 及以后的系统支持 ),但当域成员需要访问工作组模式下的服务,或当不能使用 KERBEROS 协议(例如,在域环境下域成员 使用 IP 地址而非主机名 访问共享资源,或域成员无法联系域控制器), NTLM 协议将被使用(当同时使用 LM NTLM 时, LM 将被优先使用 )。

KERBEROS 协议实现了比“质询-响应”模式协议更高的安全性:第一,在身份验证过程中,所有的数据都使用不同的密码进行加密,避免了相关验证信息的泄漏;第二,客户端和服务器会相互验证对方的身份,避免了 中间人攻击 ;第三,客户端和服务器间的时间差被严格限制,避免了 回放攻击 。与 WINDOWS 系统中的 用户安全令牌 类似, KERBEROS 服务通过“ 加密的票据(防止篡改) ”验证用户身份和提供用户访问权限; KERBEROS 服务可以通过使用 会话密钥 确保在会话中数据的 机密性 完整性 ,但是默认情况下,使用 KERBEROS 的应用程序不会被要求使用其中的机密性和完整性保护。

标示

KDC K erberos D istribution C enter )-域控制器上的服务,用于 验证用户身份 生成和分发票据 会话密钥

K(C) -客户端的密码散列; K(S) -服务器的密码散列; K(K) KDC 服务的密码散列。

K(K,C) KDC 与客户端间的会话密钥; K(C,S) -客户端与服务器间的会话密钥。

T T icket )-访问服务的票据,用于在访问服务时, 验证用户身份 提供用户访问权限

<<<<<<<-------------------------------------------- 加密 --------------------------------------------->>>>>>>

用户名

域名

票据类型

会话密钥

域名

安全主体名

创建时间

终止时间

用户地址

用户权限

  TGT T icket- G rant- T icket )-授予票据的票据,用于在访问服务时,向 KDC 申请访问服务的票据。

AUTH AUTH enticator )-验证数据,用于验证用户身份,包括 用户名 用户地址 时间戳 (用于防止攻击者进行 回放攻击 ,其默认与 KDC 当前时间差为 5 分钟); AUTH(C) -客户端的验证数据; AUTH(S) -服务的验证数据。

登陆

客户端键入用户名和密码,并通过散列算法计算密码散列 K(C)

客户端向域控制器发送登陆请求(包括 用户名 AUTH(C) (使用 K(C) 加密) );

域控制器验证用户身份,域控制器的 KDC 根据 用户名 在活动目录数据库中查找该账户的 K(C) ,并通过其解密 AUTH(C) ,进行身份验证;

通过身份验证后, KDC 生成 TGT (其中包含 K(K,C) ,并使用 K(K) 加密) K(K,C) (使用 K(C) 加密) ,并由域控制器向客户端颁发。

访问服务

客户端向域控制器发送访问服务请求(包括 TGT (使用 K(K) 加密) 服务名 AUTH(C) (使用 K(K,C) 加密) );

域控制器验证客户端身份,域控制器的 KDC 通过 K(K) 解密 TGT ,从中得到 K(K,C) ,并通过 K(K,C) 解密 AUTH(C) ;比较 TGT AUTH(C) 中的信息,进行身份验证;

通过身份验证后, KDC 生成 T (其中包含 K(C,S) ,并使用 K(S) 加密) K(C,S) (使用 K(K,C) 加密) ,由域控制器颁发给客户端;

 

客户端获得 T 和通过 K(K,C) 解密的 K(C,S) 后,向访问的服务发送访问请求(包括 T (使用 K(S) 加密) AUTH(C) (使用 K(C,S) 加密) );

访问的服务验证客户端身份,通过 K(S) 解密 T ,从中得到 K(C,S) ,并通过 K(C,S) 解密 AUTH(C) ;比较 T AUTH(C) 中的信息,进行身份验证;

通过身份验证后,访问的服务从 T 中获得 域名 安全主体名 用户权限 ,从而控制客户端的访问;

 

访问的服务向客户端发送 AUTH(S) ,其中包含 AUTH(C) 中的 时间戳, 并使用 K(C,S) 加密)

客户端验证访问的服务身份,通过 K(C,S) 解密 AUTH(S) ;比较 AUTH(S) AUTH(C) 中的 时间戳 ,进行身份验证。

跨域访问

当客户端需要访问的服务不在本地域中而在森林的其他域中,客户端将通过遍历森林获取 引用票据 Referral ticket KDC 向客户端颁发的特殊 TGT ,客户端通过此 TGT 可以向其父域或子域中的 KDC 申请票据),通过 RT 向服务所在域的 KDC 申请访问服务的票据。

本地域的 KDC 在获得客户端的访问请求后, KDC 将通过 GC 获得 服务( SPN 所在域的位置,并根据森林结构确定 信任路径 ,向客户端提供自己子域或父域 KDC RT ;如果访问的服务在此域中,客户端将使用 RT 向该域的 KDC 申请访问服务的票据;如果服务不在此域中,客户端将使用 RT 向该域的 KDC 申请该域的子域和父域的 RT ,如此循环直到到达服务所在的域。

委派信任

当客户端需要通过第一个服务去访问第二个服务时,第一个服务可以通过 KERBEROS 委派信任 模拟客户端申请第二个服务的票据,并通过申请的票据访问第二个服务,就像客户端去访问一样;委派信任让第一个服务通过已获得的客户端的 T KDC 获得客户端的 TGT ,并通过客户端的 TGT 申请访问第二个服务的 T

委派信任存在被滥用的可能,受委派的主机可以模拟被委派的用户访问任何资源,因此需要通过 约束委派 (要求域控制器的 操作系统为 Windows 2003 ,域功能集为 Windows 2003 功能集 )进行限制;约束委派只允许受委派的主机中指定的服务模拟被委派的用户进行其他服务的访问。

 

xman_78tom
关注
专栏目录
内网渗透(六十)之AS-REP Roasting攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-30 1336
AS-REP Roasting是一种针对用户账户进行离线爆破的攻击方式。但是该攻击方式使用上比较受限,因为其需要用户账户设置“不要求Kerberos身份验证”选项。而该选项默认是没有勾选的。Kerberos身份验证发生在Kerberos身份验证的第一阶段(AS_REQ&AS_REP),它的主要作用就是防止密码离线爆破。默认情况下,身份验证是开启的,KDC会记录密码错误的次数,防止在线爆破。
详解:Kerberos身份验证技术.docx
10-30
Kerberos身份验证是一种广泛采用的安全协议,旨在为网络环境中不同实体(例如客户端与服务器)之间的通信提供安全保障。它通过一系列复杂但高效的过程确保了数据的安全交换、用户的身份验证以及授权过程的透明性。 ...
AS-REP Roasting攻击
谢公子的博客
03-29 2390
首先,关闭hack2用户的 Kerberos身份验证。 然后使用 Rubeus执行如下命令 Rubeus.exe asreproast 然后使用hashcat进行爆破
内网安全--AS-REP Roasting攻击
weixin_45910629的博客
04-10 660
AS-REP Roasting是一种对用户账号进行离线爆破的攻击方式。但是该攻击方式利用比较局限,因为其需要用户账户设置“不要求Kerberos身份验证”选项,而该选项是默认没有勾选上的。Kerberos身份验证发送在Kerberos身份验证的第一阶段(AS_REQ&AS-REP),它的主要作用是防止密码离线爆破。默认情况下,身份验证是开启的,KDC会记录密码错误次数,防止在线爆破。
Roasting攻击
最新发布
Y22Lee的博客
06-03 949
自己魔改的工具,之前的工具都是通过查询用户属性,根据之前的喷洒工具,我们修改里面的规则,根据协议找出来用户(改过后的工具可以查询不需要提供域用户的密码就可以啦直接使用kerberos协议即可)想要使用此方法破解域用户的密码,首先这个用户必须勾选的(不要求Kerberos身份验证)才可以,所以我们第一步就是获取域内哪些用户勾选个这个选项。对于域内的主机,我们如果想要知道,该用户的part的值可以使用相关的工具,基本上都是使用LDAP协议查询用户,然后列出相关的part值。使用用户字典一个一个去试试。
域渗透 | kerberos认证及过程中产生的攻击
st3pby的博客
02-20 7096
Windows认证一般包括本地认证(NTLM HASH)和域认证(kerberos)。认证的原理网上有很多文章。如果喜欢听视频课程的话,这里推荐倾旋师傅的分享课本篇文章主要内容是Kerberos认证过程中产生的攻击。Kerberos是由麻省理工学院提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证Kerberos协议有两个基础认证模块:和,以及微软扩展的两个认证模块S4U和PAC。kerberos是一种基于票据的认证方式。
Kerberos协议理解
05-05
Kerberos是一种广泛使用的身份验证协议,旨在提供身份验证服务,以确保在不安全的网络环境中进行身份验证的安全性。下面将详细介绍Kerberos协议的概念、原理和工作流程。 1. Kerberos协议的基础概念 * KDC(Key ...
Tomcat SPNEGO/Active Directory Authnz:Tomcat SPNEGO / Kerberos身份验证器和Active Directory领域-开源
05-09
"Tomcat SPNEGO/Active Directory Authnz: Tomcat SPNEGO / Kerberos身份验证器和Active Directory领域-开源" 这个标题提到的是一个针对Apache Tomcat服务器的开源解决方案,它实现了SPNEGO(Simple and Protected ...
SQL Server 2012 身份验证(Authentication)
09-10
Windows身份验证利用NTLM或更安全的Kerberos协议,提供了一套强大的安全功能,包括密码策略、单一登录体验和集成的审计功能。此外,Windows用户和组的变更会自动反映在SQL Server中,简化了管理。然而,这种方法的...
基于Kerberos的身份认证机制研究
10-29
基于Kerberos的身份认证机制研究
AD域控攻击记录--身份认证机制(从0到1,第二篇)
墨痕诉清风的博客
10-07 250
1. 第一个票据TGT为客户端身份2. 第二个票据ST为访问服务票据,是否可访问。
红队技巧-域渗透的协议利用
qq_50854662的博客
03-27 1803
1.pth(hash传递) 1.1 PTH简介 哈希传递(pth)攻击是指攻击者可以通过捕获密码的hash值(对应着密码的值),然后简单地将其传递来进行身份验证,以此来横向访问其他网络系统,攻击者无须通过解密hash值来获取明文密码,因为对于每个Session hash值都是固定的,除非密码被修改了(需要刷新缓存才能生效),所以pth可以利用身份验证协议来进行攻击,攻击者通常通过抓取系统的活动内存和其他技术来获取哈希。 1.2 PTH限制 在03之后有了ua...
AS-REPRoasting
Ping_Pig的博客
12-30 1362
讲在前面: 最近笔者发布的几篇文章,大家不难发现,都是和kerberos协议相关的。国内外各类的研究员对于该协议的研究愈发的深入,从该协议产生的漏洞就会越来越多甚至越来越严重。当然这只是笔者的一点拙见。 在介绍了Kerberoasting后,与其分不开的一个漏洞AS-REPRoasting我们也要介绍一下。当然,该漏洞依然要建立在受害用户没有使用强壮的符合复杂策略的密码前提下。同时也要强调该漏洞并没有Kerberoasting出彩 简介: 对于域用户,如果设置了选项”Do not requir...
Kerberos 身份验证
kuokay的博客
09-11 706
Kerberos 是一种由 MIT(麻省理工大学)提出的一种基于加密 Ticket 的身份认证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证,用于验证用户或主机的标识。。适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016在 Kerberos 协议中主要是有三个角色的存在:1、访问服务的 Client;2、提供服务的 Server;
Kerberos身份验证流程
pengjunlee的博客
05-21 2748
介绍: Kerberos 是一种由 MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。 在 Kerberos 认证中,最主要的问题是如何证明「你是你」的问题,如当一个 Client 去访问 Server 服务器上的某服务时,Server 如何判断 Client 是否有权限来访问自己主机上的服务,同时保证在这个过程中的通讯内容即使被拦截或篡改也不影响通讯的安全性,这正是 Kerberos 解决的问题。在域渗透过程中 Kerberos 协议
Kerberos身份认证在域用户工作站登录中的应用
weixin_33860147的博客
10-25 257
以下内容摘自由笔者编写,并将在明年初出版的《网络工程师必读——网络安全系统设计》一书中(书名可能会更改)。   6.7.3 Kerberos身份认证在域用户工作站登录中的应用   假设用户在tailspintoys.com域中有自己的网络账户。用户自己的工作站也属于tailspintoys.com域。用户通过按下【CTRL】+【ALT】+【DEL】组合键登录界面登录域网络(这是在计算机上使...
JSch登录sftp,跳过 Kerberos username 身份验证提示
虾哔哔的博客
09-04 1548
一般情况下,我们登录sftp服务器,用户名认证或者密钥认证即可。 但是如果对方服务器设置了Kerberos 身份验证,而已方又没有对应的配置时,则会提示输入 Kerberos username [xxx] Kerberos password 此时,简单的解决办法是,可以去掉Kerberos 身份验证来解决 解决办法 session.setConfig(“PreferredAut...
kerberos入坑指南
mark's technic world
03-14 1611
原理介绍 kerberos主要是用来做网络通信时候的身份认证,最主要的特点就是“复杂”。所以在入坑kerberos之前,最好先熟悉一下其原理。这里推荐一些别人写的文章内容来进行简单汇总: 链接kerberos认证原理用对话场景来解释kerbeors的设计过程 简图 kerberos认证流程简图 几个概念的补充 principal 认证的主体,简单来说就...
移动网络Kerberos身份验证协议改进与安全性验证
"该资源是一篇发表于2010年的自然科学论文,主要研究了如何在移动网络中改进Kerberos域间身份验证协议,以提高应用层安全性,特别是当移动设备跨域时。作者通过减少客户端交互次数,优化协议以适应移动网络环境,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值