zoukankan      html  css  js  c++  java
  • Kerberos协议及其利用

    前言

    之前就一直想着抽空学学内网渗透相关的东西,无奈被各种事情耽搁。。。刚好这两天闲下来,就把之前留的坑填一下。

    本文涉及相关实验:Kerberos网络认证协议搭建与分析(本实验主要介绍了windows server2003系统的域和DNS服务器的搭建,通过本实验的学习学会kerberos网络认证协议搭建方式。)

    Kerberos协议原理

    啥是Kerberos?

    一种双向的网络身份认证协议,通过使用加密技术为客户端/服务端应用程序提供强大的认证服务

    基本概念

    • Principal安全个体,具有唯一命名的客户端或服务器。命名规则:主名称+实例+领域,如:herlocky/admin@EXAMPLE.COM

    • TGT票据授予票据(Ticket Granting Ticket),包含客户端ID、客户端网络地址、票据有效期以及client/TGS会话密钥

    • Ticket票据,一条包含客户端标识信息、会话密钥和时间戳的记录,客户端用它来向目标服务器认证自己

    • Session key会话密钥,指两个安全个体之间使用的临时加密秘钥,其时效性取决于单点登录的会话时间长短

    • KDCKey分发中心(key distribution center),是一个提供票据(tickets)和临时会话密钥(session keys)的网络服务。KDC服务作为客户端和服务器端信赖的第三方,为其提供初始票据(initial ticket)服务和票据授予票据(ticket-granting ticket)服务,前半部分有时被称为AS,后半部分有时则被称为TGS

    • AS认证服务器(Authentication Server),KDC的一部分。通常会维护一个包含安全个体及其秘钥的数据库,用于身份认证

    • TGS许可证服务器(Ticket Granting Server),KDC的一部分,根据客户端传来的TGT发放访问对应服务的票据

    • SS特定服务的提供端(Service Server)

    如何运作?

    放一张图片可能比较好理解一些:

    1.(在开启Kerboers协议的基础上)当客户端想访问服务器上的资源时,需要先向KDC发送认证请求,在发送认证请求的时候会根据自己的密码生成密钥,用密钥将发送的时间戳进行加密。(加密作用在于防止别人获取到信息后进行重放攻击)

    2.1 KDC在接受到请求后,会先查看AS中是否有该账户的信息,使用相对应解密算法将时间戳解密,完成了A的身份认证。这里解释一下为啥会用到时间戳:因为在传输过程中,可能会被黑客进行截获,黑客在截获后如果想骗取认证的话需要进行数据包的再次发送,也就是重放攻击。重放攻击需要耗费一定时间,如果用时间戳作为衡量标准的话,当KDC解出时间戳和当前时间差别过大时,就不会再继续认证。

    2.2 上文说到Kerboers是双向的认证,2.1是客户端向KDC证实身份,现在需要KDC向客户端证明身份。首先,KDC会生成一把专门用于KDC与A之间通信的密钥,并且用密钥加密自身,得到的这个玩意儿就是TGT。之后将时间戳、KDC生成的密钥、随机字符串使用客户端生成的密钥进行加密。

    2.3.客户端在收到消息后,会使用自己最初生成的密钥来解密密文,得到KDC的密钥,并且证实其身份。

    3.1 接下来客户端需要向KDC去认证服务器的身份,于是会将之前的TGT和KDC的密钥加密的信息与时间戳以及新的消息发送给KDC,KDC收到消息后会将TGT解密拿到密钥和加密的信息,达到验证客户端的目的。

    4 KDC生成新的密钥 ,新密钥供客户端与服务器通信时使用,并且该密钥和客户端的信息会被服务器的密钥进行加密形成票据,原KDC生成的密钥对新密钥进行加密后,将票据和生成的新密文发送给客户端

    5.1 客户端拿着KDC生成的新密钥加密信息和时间戳,再外加一个票据(TGS)去请求服务器

    5.2 服务器用自己的私钥解开票据,拿到客户端和服务器之间的密钥以及信息,接着用该密钥解密客户端发来的密文,如果验证为真,就会将时间戳用客户端和服务器之间的密钥进行加密发给客户端。

    6 客户端接收到服务器发送的信息后,解密查看时间戳完成对B的身份校验,完成认证过程。

    ---------------------------------------------------------------------------------------------------分隔符---------------------------------------------------------------------------------------------------------

    用大白话来说可能会容易理解Kerboers协议,比如在学校的机房里(假设为域控环境),如果用户想在任意一台主机上进行操作,只需要有一个账户名密码即可。该账户名密码存于域控制器中,有别于我们平时使用的工作组,用户名密码不通过本机验证,身份验证是采用Kerberos协议在域控制器上进行的,登陆到此计算机(如telnet)则是通过SAM来进行NTLM验证。

    记录一次不心酸的AD域控搭建

    环境

    VMware虚拟机:Windows 2012 R2,Windows 7

    过程

    搭建起来没想象中的复杂,主要是把服务器上的AD域和DNS服务器安装好,处理好服务器和主机之间互通的问题

    直接按照这个博客搭建即可域环境搭建,过程不再赘述。搭建域控环境目的还是为了复现Kerberos协议中的两种利用方式。

    白银票据

    原理

    先拽一波英文,Silver Ticket(白银票据)主要是利用TGS,即六步认证过程中的第五步,客户端拿着票据向服务器中的某个服务发起请求,这时候的票据格式是这样的:

    Ticket=Server Hash(Server Session Key+Client info+End Time)

    利用服务器端生成的密钥对Server Session Key、客户端的消息以及时间戳进行加密。因为服务器没有收到Server Session Key,并不知道我们要访问的究竟是何种服务,所以当我们知道Server Hash的时候,就可以去访问服务器中指定的服务。简单地说,就是生成了一个可以随时访问服务的后门。

    利用条件

    1.已知服务器的NTLM hash

    2.仅对部分开放服务有效,如cifs(文件共享服务),mssql,winrm(windows远程管理),dns等等

    实践过程

    用的是红日安全的环境

    192.168.52.138 域控服务器

    192.168.52.143 客户端

    mimikatz 工具

    之前自己搭建的AD域环境有点问题,没复现成功,心塞。。。然后用红日的环境复现好了。拿到的客户端是管理员权限,域控的主机是普通用户权限。没详细研究怎么去打组合拳,先看看能不能利用一下白银票据。尝试用命令查询客户端共享目录的访问权限,发现无法访问:

    dir \stu1.god.orgc$

    因为要伪造访问客户端的访问权限,所以我们可以在客户端中去拿到这个NTLM Hash:

    mimikatz log "privilege::debug" "sekurlsa::logonpasswords">log.txt

    在log.txt中查看到 NTLM Hash:

    然后我们还需要域的SID值,域的SID就是域成员的SID值去掉最后的 -数字 的部分,该域的SID值就是S-1-5-21-2952760202-1353902439-2381784089可以在log.txt中查看,也可以用命令:

    whoami /user

    最后一步,就是在域控主机中伪造票据,为了方便就直接进行伪造,写入域控主机内存。mimikatz 其实还可以把票据dump到本地,方便以后再使用。为了防止其他票据干扰,可以使用 kerberos::purge把主机中其他票据删除。伪造命令:

    kerberos::golden /domain:god.org /sid:S-1-5-21-2952760202-1353902439-2381784089  /target:stu1.god.org /rc4:55c330808522af0724598d8f48af2809  /service:cifs /user:stu1 /ptt

    然后再次访问,成功:

    最后,mimikatz之前没咋用过,简单看了一下是可以将内存中的密码都读出来,很强大。。有些密码没经过Hash处理,直接明文显示了。

    黄金票据

    原理

    和白银票据不同,黄金票据利用点在于伪造TGT。伪造TGT的关键就在于获取KDC的哈希值,也就是KRBTGT账户的哈希值,伪造出TGT的话,后面就可以有效的获得目标主机任何的Kerberos服务。

    利用条件

    1.需要与KDC通信

    2.需要krbtgt的hash

    实践过程

    依旧是红日安全的环境

    Win2008R2(DC) IP:192.168.52.138

    Win2003 IP:192.168.52.141

    Win7 IP:192.168.52.143(内)

    mimikatz 工具

    大大大前提:我们已经可以访问域控主机,接下来我们在域控上使用mimikatz进行票据提取。先导出KRBTGT账户的hash:

    lsadump::dcsync /domain owa /user:krbtgt

    把信息提取出来:

    安全账户管理器用户名:krbtgt
    krbtgt SID为:S-1-5-21-2952760202-1353902439-2381784089-502
    krbtgt 的hash:58e91a5ac358d86513ab224312314061

    查看一下域控主机当前用户:

    接着回到win7主机上,我们要在win7主机中使用mimikatz,通过黄金票据获得域控主机权限。先启动mimikatz,借助kerberos::purge命令清除win7主机上的票据

    接着利用前面获取到的信息伪造黄金票据:

    kerberos::golden /domain:owa.god.org /sid:S-1-5-21-2952760202-1353902439-2381784089-502  /rc4:58e91a5ac358d86513ab224312314061  /user:krbtgt  /ptt

    再尝试一下能否访问远程文件共享

    啊这,出现这个错误的时候在网上查了很多资料,也关闭了防火墙和windows defender还是出现上述问题。后面调用systeminfo命令看了一下,原来打补丁了啊,那没事了,如果没有补丁的话就可以继续对目标机器进行渗透,甚至可以用PSEXEC.exe进行反弹shell。关于红日安全靶场,在网上进行下载即可。

    合天智汇:合天网络靶场、网安实战虚拟环境
  • 相关阅读:
    2014.7建兰NOIP模拟Day1 Running
    简单的数论函数模板
    二分图匹配的匈牙利算法
    手算平方根
    ...
    hdu 5396 Expression(区间DP+组合数)
    hdu 5693 D Game(区间DP)
    hdu 5151 Sit sit sit(区间dp+排列组合)
    hdu 4570 Multi-bit Trie(dp)
    hdu 2855 Fibonacci Check-up (矩阵)
  • 原文地址:https://www.cnblogs.com/hetianlab/p/14871901.html
Copyright © 2011-2022 走看看