热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

kerberos票据_干货|内网渗透之kerberos协议分析

内容来源:先知社区一、前言Kerberos协议是一种网络认证协议,其设计目标是通过密钥系统为客户服务器应用程序提供强大的认证服务。在令牌窃取攻击中&#x

内容来源:先知社区

bea09feb9fd3dca157cb55edf11c803e.png

一、前言

Kerberos协议是一种网络认证协议,其设计目标是通过密钥系统为客户/服务器应用程序提供强大的认证服务。在令牌窃取攻击中,该攻击的核心就是Kerberos协议。Kerberos协议要解决的实际上就是一个身份认证的问题,顾名思义,当一个客户机去访问一个服务器的某服务时,服务器如何判断该客户机是否有权限来访问本服务器上的服务,同时保证在该过程中的通讯内容即便被拦截或者被篡改也不影响整个通讯的安全性

二、概念说明

先来简要说明几个主要的名词

(1)Client:访问服务的客户机

(2)Server:提供服务的服务器

(3)KDC(Key Distribution Center):密钥分发中心

(4)KDC中分成两个部分:Authentication Service和Ticket Granting Service
    Authentication Service(AS):身份验证服务
    Ticket Granting Service(TGS):票据授予服务

    AS和TGS如下:

    Authentication Service:AS的作用就是验证Client端的身份,验证通过之后,AS就会给TGT票据(Ticket Granting Ticket)给Client.
    Ticket-granting COOKIE(TGC):存放用户身份认证凭证的COOKIE,在浏览器和CAS Server间通讯时使用,是CAS Server用来明确用户身份的凭证。TGT封装了TGC值以及此COOKIE值对应的用户信息.
    Ticket-granting ticket(TGT):TGT对象的ID就是TGC的值,在服务器端,通过TGC查询TGT.


    Ticket Granting Service(TGS):TGS的作用是通过AS发送给Client的TGT换取访问Server端的ST(Server Ticket)给Client.
    SEerver Ticket(ST):ST服务票据,由TGS服务发布.


(5)Active Directory(AD):活动目录

(6)Domain Controller(DC):域控制器

(7)Ticket-granting COOKIE(TGC):存放用户身份认证凭证的COOKIE,在浏览器和CAS Server间通讯时使用,是CAS Server用来明确用户身份的凭证。TGT封装了TGC值以及此COOKIE值对应的用户信息.

(8)Ticket-granting ticket(TGT):TGT对象的ID就是TGC的值,在服务器端,通过TGC查询TGT.
三、认证过程

Kerberos认证的过程形象地比喻如下:

疫情期间,小明去拿一个重要包裹,由于包裹是来自海外的,所以需要严格登记:
(1)拿包裹的时候,为了证明自己是合法公民,小明先把身份证给工作人员
(2)快递点的身份认证系统通过身份认证后,给小明一张身份认证通过证明
(3)小明拿着身份认证通过证明,来到快递收发处等一张拿快递的号码牌
(4)售票处给了张号码牌
(5)小明拿着号码牌拿快递去了
(6)在拿快递时,小明拿出自己的身份认证材料给快递点的工作人员,工作人员向快递公司的数据管理中心发了消息,问问小明是不是有包裹要拿
(7)数据管理中心将小明的快递单号,身份信息等发了过来
(8)工作人员将数据管理中心发来的信息与小明给的材料对比,得出小明是好公民,有一个重要包裹,于是带着小明来到仓库的金库,把装有老魔杖的包裹给了小明

Kerboeros协议认证过程中,会用到两个基础认证模块,分别是AS_REQ&AS_REPTGS_REQ&TGS_REP,以及在认证过程中可能会使用到的S4UPAC这两个认证模块。

使用wireshark抓包得到数据包,PS:在抓包的时候,先用mimikatz将机器中的票据清除

域控:10.10.10.10(windows server 2008 R2)

域成员:10.10.10.80(windows 7)

域用户账号密码:hunter1/1qaz@WSX

3137bfaa1d9d557165f1e3ecef9d8bf1.png

Kerberos认证中有两个问题

(1)AS如何验证Client的身份?
    AS与Client之间的认证使用AS_REQ&AS_REP模块
(2)Client如何获取ST?
    Client与TGS之间认证使用TGS_REQ&TGS_REP模块

因为kerberos协议的实现,需要三方的参与,分别如下:

1.client 访问服务的客户机
2.Server 提供服务的服务器
3.KDC(Key Distribution Center) 密钥分发中心
    KDC服务会默认安装在一个域的域控中,所以可以直接理解为,AD与KDC均为域控制器,KDC服务框架中包含一个KRBTGT账户,它是在创建域时系统自动创建的一个账号。

Kerberos认证过程如下图所示

abfdfe271b506c9d7e5d4a88e1831169.png

其中:KDC中有AS认证服务TGS认证服务

(1)Client向KDC的AS认证服务请求TGT票据=>AS_REQ
(2)Client通过认证后,KDC将会发放TGT票据=>AS_REP
(3)Client带上TGT票据,向TGS认证服务请求ST服务票据=>TGS_REQ
(4)Client通过了TGS认证服务后,TGS将会发放ST服务票据=>TGS_REP
(5)Client使用ST服务票据向服务端请求服务=>AP_REQ
(6)Server拿到PAC询问KDC,Client是否有权限
(7)KDC将Client的权限信息发给Server
(8)Server根据KDC返回的权限信息对比,判断Client是否有权限访问该服务,并把结果返回给Client=>AP_REP

注:(6)(7)两步不一定发生,需要将目标主机配置为验证KDC PAC验证。

93c9a4e14849df5a3e48a0ddd3348946.png

域中每个用户的Ticket都是由krbtgt的密码Hash来计算生成的,因此只要我们拿到了krbtgt的密码Hash,就可以随意伪造Ticket,进而使用Ticket登陆域控制器,使用krbtgt用户hash生成的票据被称为Golden Ticket,此类攻击方法被称为票据传递攻击。

先前提到两个问题,第一个问题

(1)AS如何验证Client的身份?
    AS与Client之间的认证使用AS_REQ&AS_REP模块

1、AS_REQ&AS_RE

(1)分析AS-REQ的数据包

AS-REQ:当某个域用户试图访问域中的某个服务,于是输入用户名和密码,本机Kerberos服务会向KDCAS认证服务发送一个AS-REQ认证请求。该请求包中包含:请求用户名,客户端主机名,加密类型Autherticator(用户NTLM Hash加密的时间戳)以及一些信息。

ClientKDC发起AS_REQ请求凭据是用户hash加密的时间戳。请求凭据放在PA_DATA里面。

6c211956d292be6a5874ac0d5f9dab21.png

Pvno kerberos协议版本号:05(Hex)
5MSG-TYPE 类型 AS_REQ对应(krb-as-req)0a(Hex)
PA-DATA 预认证信息数据 一个列表,包含若干个认证消息用于认证,每个认证消息有type和value。
AS_REQ 阶段主要用到的有两个
  1.ENC_TIMESTAMP
  这个是预认证,就是用用户hash加密时间戳,作为value 发送给AS服务器。然后AS服务器那边有用户hash,使用用户hash进行解密,获得时间戳,如果能解密,且时间戳在一定的范围内,则证明认证通过。
  2.PA_PAC_REQUEST
  这个是启用PAC支持的扩展。PAC(Privilege Attribute Certificate)并不在原生的kerberos里面,是微软引进的扩展。PAC包含在AS_REQ的响应body(AS_REP)。这里的value对应的是include=true或者include=false(KDC根据include的值来判断返回的票据中是否携带PAC)。
REQ_BODY
  1.cname
  PrincipalName 类型。PrincipalName包含type和value。
  KRB_NT_PRINCIPAL = 1 means just the name of the principal 如daizhibin
  KRB_NT_SRV_INST = 2 service and other unique instance (krbtgt) 如krbtgt,cifs
  KRB_NT_ENTERPRISE_PRINCIPAL = 10 如 user@domain.com
  在AS_REQ里面cname 是请求的用户,这个用户名存在和不存在,返回的包有差异,可以用于枚举域内用户名。
  2.sname
  PrincipalName 类型,在AS_REQ里面sname是krbtgt,类型是KRB_NT_SRV_INST
  3.realm 域名
  4.from 发送时间
  5.till 到期时间,rubeus和kekeo都是20370913024805Z,这个可以作为特征来检测工具。
  6.nonce
  随机生成的一个数kekeo/mimikatz nonce是12381973,rubeus nonce是1818848256,这个也可以用来作为特征检测工具。
  7.etype
  加密类型
这个地方要注意的是如果在配置里面选择用hash(不是plaintext)的话,hash的加密类型,要跟etype一样。因为KDC是按照etype类型选择用户对应加密方式的hash,如果是选择明文(plaintext),那么client 会按照etype里面的加密方式将明文加密成hash

08c8226dac41801b8ba467f03a53d0e6.png

cf0b47db48ff22b47ffa0e7bc74c4e4e.png

d0040dce95056b52f51164dc9e4e9f47.png

(2)分析AS-REP的数据包

c3c87dfbb7c91fad2ec0e491036b249b.png

AS-REP:Client发送AS_REQ,请求凭据是用户 hash加密的时间戳。请求凭据放在PA_DATA里面。当KDC中的AS认证服务收到后,在AS服务器中有用户hash,使用用户hash进行解密,获得时间戳,如果解密成功,并且时间戳在五分钟之内,那么预认证通过。接着AS认证服务将会向Client发送响应包,响应包中包括krbtgt用户的NTML hash加密后的TGT票据以及用户NTML Hash加密的Login Session key和其他信息

af1a3690d9dee624d97be64a06a8be8d.png

ticket中的enc-part是由krbtgt的密码hash加密生成的。如果我们拥有krbtgt的hash,便可以自制ticket,发起黄金票据攻击

Login Session Key使用用户NTML Hash加密,作用是用于是用于确保客户端和KDC下一阶段之间通信安全,作为下一阶段的认证密钥

在这一阶段,Client与KDC之间的交互在于AS认证服务,主要是为了获得TGT认证票据,以及Login Session Key,经过该阶段后,Client将会使用自身密码的NTML hash解密Login Session Key得到原始的Login Session Key。然后它会在本地缓存TGT票据和原始Login Session Key

2、TGS_REQ&TGS_REP

先前提到两个问题,第二个问题

(2)Client如何获取ST?
    Client与TGS之间认证使用TGS_REQ&TGS_REP模块

Client在拿到TGTLogin Session Key之后,下一步的认证交互在于KDC中的TGS认证服务,主要目的是为了获取ST服务票据,因为当Client需要访问某服务器中的某服务时,需要"门票"--ST服务票据

这一阶段,微软引进了两个扩展S4U2SELFS4U2PROXY

(1)TGS-REQ数据包分析

该数据包中的主要内容为:客户端信息,Authenticator(Login Session Key加密的时间戳)、TGT认证权证(padata下ap-req下的ticket)以及访问的服务名等。

73b4149f02219da81f45f67d559df74b.png

padata部分:

2ca4866b49e9f66f1b56af7af6f98562.png

padata中有很重要的一部分叫做AP-REQ,这是TGS-REQ中必须有的数据,这部分会携带AS-REP里面获取到的TGT票据,KDC检验TGT票据,如果票据正确,返回ST票据

5a5976a523580907de2a215e18ae01bf.png

TGS-REQ请求包中的authenticator就是AS-REP响应包返回的Login Session key加密的时间戳

req-body部分:

bb7d4b45099f38ae427f27f8cc9f5b74.png

req-body

padding:0
kdc-options:用于与KDC约定一些选项设置
realm:域名
sname:这里是要请求的服务
till:到期时间
    rebeus和kekeo都是20370913024805Z,可用于作为特征值检验用
nonce:随机生成数
    kekeo/mimikatz的nonce为12381973,rubeus的nonce为1818848256,可用于作为特征值检验 用
etype:加密类型

(2)分析TGS-REP数据包

TGS-REP:当TGS收到请求后,将会检查自身是否存在客户端所请求的服务,如果服务存在,通过krbtgt用户的NTML hash解密TGT并且得到Login Session Key,通过Login Session Key解密Authenticator

486b05e3c318024ff1b024ff40ca7416.png

这一系列解密成功的话,将会验证对方的身份,验证时间戳是否在范围内,并且检查TG中的时间戳是否过期,且原始地址是否和TGT中保存的地址相同

完成认证后,TGS生成ST票据(包括客户端信息和原始Server Session key,整个ST服务票据使用该服务的NTML hash加密以及一个AS-REP返回的Login-Session-Key加密的Server Session Key。这两个将在响应包中发送给Client

c9ceb992add6769c5b4f91078eea250a.png

PS:在这一步中,不论用户是否有权限访问服务,只要TGT解密无误,都将返回ST服务票据。任何一个用户,只要hash正确,就可以请求域内任何一个服务的票据

ST票据通过认证访问服务

3、使用ST票据通过认证访问服务

9f5c8e013ab8bc82729bb849f6428abf.png

需要强调的是,这里需要使用双向验证,因为实际情况中,需要客户端和服务器互相验证

(1)服务端验证客户端:防止非法用户操作

a1e33be7be030fcdd7830ddc0dc2f379.png

(2)客户端验证服务端:防止误入恶意服务

ef745eddbb254a17ab61a055800d7bd4.png

PS:PAC并不是所有服务都开启的,这需要配置验证KDC PAC 签名。没有验证PAC,可能会导致白银票据攻击。因为开启PAC后,就算攻击者拥有用户hash,能制作ST票据后,无法通过PAC验证,还是无法访问服务

四、后话

Kerberos的攻击有如下:

23b99cb30657d6ac30a664ad17e29e94.png

参考文章:

https://www.zhihu.com/question/22177404

https://blog.csdn.net/matthewei6/article/details/50769670

http://www.secwk.com/2019/11/05/13711/

https://www.cnblogs.com/zlg666/p/12048853.html

https://mp.weixin.qq.com/s/QCyadi2Alb4CMfegxXgs1A

abcd67192146975d806e262ead80d5e8.pngbfc6d31fb306bd157d67db464bb8aeb3.png



推荐阅读
  • 本文探讨了如何在Classic ASP中实现与PHP的hash_hmac('SHA256', $message, pack('H*', $secret))函数等效的哈希生成方法。通过分析不同实现方式及其产生的差异,提供了一种使用Microsoft .NET Framework的解决方案。 ... [详细]
  • 深入解析ESFramework中的AgileTcp组件
    本文详细介绍了ESFramework框架中AgileTcp组件的设计与实现。AgileTcp是ESFramework提供的ITcp接口的高效实现,旨在优化TCP通信的性能和结构清晰度。 ... [详细]
  • 本文探讨了为何相同的HTTP请求在两台不同操作系统(Windows与Ubuntu)的机器上会分别返回200 OK和429 Too Many Requests的状态码。我们将分析代码、环境差异及可能的影响因素。 ... [详细]
  • 优化Flask应用的并发处理:解决Mysql连接过多问题
    本文探讨了在Flask应用中通过优化后端架构来应对高并发请求,特别是针对Mysql 'too many connections' 错误的解决方案。我们将介绍如何利用Redis缓存、Gunicorn多进程和Celery异步任务队列来提升系统的性能和稳定性。 ... [详细]
  • 如何使用Ping命令来测试网络连接?当网卡安装和有关参数配置完成后,可以使用ping命令来测试一下网络是否连接成功。以winXP为例1、打开XP下DOS窗口具体操作是点击“开始”菜 ... [详细]
  • 本文详细介绍了 Java 中 org.geotools.data.shapefile.ShapefileDataStore 类的 getCurrentTypeName() 方法,并提供了多个代码示例,帮助开发者更好地理解和使用该方法。 ... [详细]
  • Symfony是一个功能强大的PHP框架,以其依赖注入(DI)特性著称。许多流行的PHP框架如Drupal和Laravel的核心组件都基于Symfony构建。本文将详细介绍Symfony的安装方法及其基本使用。 ... [详细]
  • 本文详细介绍了钩子(hook)的概念、原理及其在编程中的实际应用。通过对比回调函数和注册函数,解释了钩子的工作机制,并提供了具体的Python示例代码,帮助读者更好地理解和掌握这一重要编程工具。 ... [详细]
  • 本文详细介绍了 phpMyAdmin 的安装与配置方法,适用于多个版本的 phpMyAdmin。通过本教程,您将掌握从下载到部署的完整流程,并了解如何根据不同的环境进行必要的配置调整。 ... [详细]
  • 在安装 SQL Server 时,选择混合验证模式可以提供更高的灵活性和管理便利性。如果您已经安装了 SQL Server 并使用单一的 Windows 身份验证模式,可以通过以下步骤将其更改为混合验证模式。 ... [详细]
  • 本文探讨了在 SQL Server 中使用 JDBC 插入数据时遇到的问题。通过详细分析代码和数据库配置,提供了解决方案并解释了潜在的原因。 ... [详细]
  • 优化SQL Server批量数据插入存储过程的实现
    本文介绍了一种改进的SQL Server存储过程,用于生成批量插入语句。该方法不仅提高了性能,还支持单行和多行模式,适用于SQL Server 2005及以上版本。 ... [详细]
  • SpringMVC RestTemplate的几种请求调用(转)
    SpringMVCRestTemplate的几种请求调用(转),Go语言社区,Golang程序员人脉社 ... [详细]
  • 配置PHPStudy环境并使用DVWA进行Web安全测试
    本文详细介绍了如何在PHPStudy环境下配置DVWA( Damn Vulnerable Web Application ),并利用该平台进行SQL注入和XSS攻击的练习。通过此过程,读者可以熟悉常见的Web漏洞及其利用方法。 ... [详细]
  • 深入剖析JVM垃圾回收机制
    本文详细探讨了Java虚拟机(JVM)中的垃圾回收机制,包括其意义、对象判定方法、引用类型、常见垃圾收集算法以及各种垃圾收集器的特点和工作原理。通过理解这些内容,开发人员可以更好地优化内存管理和程序性能。 ... [详细]
author-avatar
mobiledu2502857377
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有