说明:
- 在发现这篇文章得时候,首先你要明白自己是否明白说明是Kerberos协议,如果不清楚这个协议是干说明的,自己可以搜索搜索,改天我写一篇来说说这个Kerberos协议,看明白我们在继续这边文章哟,为想搞好域渗透打好坚定的基础知识哦 !
AS-REQ&AS-REP
-
AS-REQ
- 哈希传递攻击 【Pass The Hash】
- 域用户枚举攻击
- 密码喷洒攻击【Password Spraying】
在这个阶段使用的用户密码Hash或AES Key 加密的时间戳。
- 当只获得了用户密码Hash的时,发起的AS-REQ会造成PTH攻击。
- 当只获得密码的AES key时,发起AS-REQ 会造成PTK攻击。
- AS-REQ 包含中cname字段的值代表用户名,这个值存在以及不存在,返回的包是不一样的。
- 那么可以枚举域内用户名 这种攻击方式称之为域内用户名枚举攻击,可以用这种办法进行密码爆破。
- 这种办法用户名存在,密码正确和错误的时,返回的包是不一样的。
- 密码喷洒攻击进行测试和攻击,其实也就是知道密码暴力破解密码的一种,那么就是针对所有用户执行特定的密码登陆尝试,从而避免账户被锁定。
- 普通的爆破就是用户固定爆破密码
- 但是密码喷洒是用固定的密码去爆破所有用户名,避免用户被锁定。
-
AS-REP
- 黄金票据攻击
- AS-REP Roasting攻击
- 在AS-REP阶段,返回TGT是由krbtgt用户密码hash加密的,所以如果我们拥有krbtgt的密码hash就可以自己制作一个TGT,这个票据也称之为黄金票据,这种攻击也称之为黄金票据攻击。
- 在AS-REP阶段,Logon Session Key 是用户名密码hash加密的
- 对于域用户如果设置了 Do not Kerberos preauthentication【不需要预认证】攻击者会向预控的88端口发送AS_REQ ,这个时候域控主机不会做任何限制,将TGT以及用户的hash加密的Logon Session key返回。
- 这样攻击者就可以对获取到的用户hash加密的Logon Session Key进行离线破解
- 这样就能得到明文密码 这种就被称之为AS-REP Roasting攻击
TGS-REQ&TGS-REP
-
TGS-REP
- Kerberoasting攻击
- 白银票据攻击
- TGS-REP中的ST是使用服务的Hash进行加密的,如果我们拥有服务的Hash就可以签发任意用户的ST,而这个票据我们称之为白银票据,这种攻击方法被称之为白银票据传递攻击。
- 白银票据传递攻击使用的是要访问服务的hash 而不是brbtgt的hash
- 在TGS-REP,由于ST是用服务Hash加密的,所以如果我们能获取到ST,就可以对该ST进行破解,得到服务器的Hash,造成Kerberoasting攻击
- 造成这种攻击的原因还有另外一种是用户向KDC发起TGS_REQ 请求的时候,不管用户对服务有没有访问权限,只要TGT正确,KDC就会返回ST。
-
S4U
- 委派攻击
- 非约束性委派攻击
- 约束性委派攻击
- 基于资源的约束性委派攻击
- 委派攻击