课程汇报 kerberoasting攻击学习

一、基础

(6条消息) 内网渗透-获取WIN本地用户Hash_windows 账号 hash在哪_XG小刚的博客-CSDN博客

渗透基础——活动目录信息的获取 (qq.com)

渗透基础——域内用户口令策略的获取 (qq.com)

浅谈NTLM Hash - 0xGeekCat - 博客园 (cnblogs.com)

网络基础：NetBIOS - sparkdev - 博客园 (cnblogs.com)

(6条消息) FQDN 是什么_fqdn什么意思__nMaple_的博客-CSDN博客

域渗透-Kerberoasting - 知乎 (zhihu.com)

Kerberoasting 是域渗透中经常使用的一项技术，一种域口令攻击方法，同时发布了配套的攻击工具 kerberoast。此后，不少研究人员对 Kerberoasting 进行了改进和扩展，在 GitHub 上开发发布了大量工具，使得 Kerberoasting 逐渐发展成为域攻击的常用方法之一。

Kerberoast攻击是在TGS_REP的过程中用户将会收到由目标服务实例的NTLM hash加密生成的ST(service ticket)，加密算法为RC4-HMAC，如果获得这个ST票据，我们可以尝试穷举口令，模拟加密过程，进行破解。

攻击发送在TGS认证的阶段，首先我们要知道这个攻击只要在域用户的权限下都可以发送TGS请求。

TGS_REQ

经过AS_REP的步骤，客户端获得了 TGT票据 和 Login Session Key。

用自己的密码NTLM Hash解密Login Session Key得到原始的Logon Session Key。

它会在本地缓存此 TGT票据和 原始的Login Session Key。如果现在它需要访问某台服务器的某个服务，它就需要凭借这张TGT票据向KDC申请相应的ST服务票据（Service Ticket）。

ST服务票据是通过KDC的 TGS服务颁发的。

TGS_REP

TGS接收到请求之后，首先会检查自身是否存在客户端所请求的服务（就是查询SPN）。

如果服务存在，则通过 krbtgt 用户的NTLM Hash 解密TGT并得到Login Session Key，然后通过Login Session Key解密Authenticator。

如果解密成功，则验证了对方的真实身份，同时还会验证时间戳是否在范围内。并且还会检查TGT中的时间戳是否过期，且原始地址是否和TGT中保存的地址相同。

在完成上述的检测后，如果验证通过，则TGS完成了对客户端的认证，会生成一个用Logon Session Key加密后的用于确保客户端-服务器之间通信安全的Service Session Key会话秘钥(也就是最外层enc-part部分)，并且会为该客户端生成ST服务票据。

ST服务票据主要包含两方面的内容：客户端用户信息和原始Service Session Key，整个ST服务票据用该服务的NTLM Hash进行加密。

最终Service Session Key 和 ST服务票据 发送给客户端。(这一步不管用户有没有访问服务的权限，只要TGT正确，就都会返回ST服务票据，这也是kerberoasting能利用的原因，任何一个用户，只要hash正确，就可以请求域内任何一个服务的ST票据)

攻击原理

攻击者对一个域进行身份验证，然后从域控制器获得一个TGT认购权证，该TGT认购权证用于以后的ST服务票据请求。

攻击者使用他们的 TGT认购权证 发出ST服务票据请求(TGS-REQ) 获取特定标识的SPN。此SPN在域中应该是唯一的，并且在用户或计算机帐户的servicePrincipalName 字段中注册。在服务票证请求(TGS-REQ)过程中，攻击者可以指定它们支持的Kerberos加密类型(RC4_HMAC，AES256_CTS_HMAC_SHA1_96等等)。

如果攻击者的 TGT 是有效的，则 DC 将从TGT认购权证中提取信息并填充到ST服务票据中。然后，域控制器查找哪个帐户在ServicedPrincipalName 字段中注册了所请求的 SPN。ST服务票据使用注册了所要求的 SPN 的帐户的NTLM哈希进行加密,并使用攻击者和服务帐户共同商定的加密算法。ST服务票据以服务票据回复(TGS-REP)的形式发送回攻击者。

攻击者从 TGS-REP 中提取加密的服务票证。由于服务票证是用链接到请求 SPN 的帐户的哈希加密的，所以攻击者可以离线破解这个加密块，恢复帐户的明文密码。