内网渗透(六十一)之Kerberosating攻击
Kerberosating攻击
Kerberosating攻击发生在Kerberos协议的TGS_REP阶段,KDC的TGS服务返回一个由服务Hash 加密的ST给客户端。由于该ST是用服务Hash进行加密的,因此客户端在拿到该ST后可以用于本地离线爆破。如果攻击者的密码字典足够强大,则很有可能爆破出SPN链接用户的明文密码。如果该服务在域内被配置为高权限运行,那么攻击者可能接管整个域。
整个过程的核心点在于,攻击者和KDC协商ST加密的时候,协商的是使用RC4_HMAC_MD5加密算法。而该加密算法比较容易被破解,因此攻击者能在本地进行离线爆破。
Kerberosating攻击过程
1)攻击者提供一个正常的域用户密码对域进行身份认证,KDC在验证账户和密码的有效性,会返回一个TGT。该TGT用于以后的ST请求。
2)攻击者使用获得的TGT请求针对指定SPN的ST。在请求服务票据的TGS-REQ过程中,攻击者可以指定其支持的Kerberos加密类型为RC4_HMAC_MD5(ARCFOUR-HMAC-MD5),因为RC4_HMAC_MD5加密算法比较相比于其他加密算法更容易被破解。
3)如果攻击者的TGT是有效的,不管提供的域账户有无访问指定SPN服务的权限,KDC都会查找哪个账户在ServicedPrincipalName属性中注册了所请求的SPN,然后用该用户的Hash以RC4_HMAC_MD5加密类型加密ST并在TGS_REP包中发送给攻击者。
4)攻击者从TGS_REP包中提取加密的ST。由于