域渗透之Kerberos FAST突破技术详解<\/h1>

1. Kerberos认证回顾<\/h2>

Kerberos认证过程关键步骤：<\/p>

用户向DC请求TGT (Ticket Granting Ticket)<\/li>
KDC返回使用krbtgt账户密钥加密的TGT<\/li>
用户携带TGT向KDC请求服务票据(ST)<\/li>
KDC验证TGT后返回使用服务账户密码加密的ST<\/li>
用户使用ST访问服务<\/li>

服务端验证ST有效性<\/li> <\/ol>

2. AS-REP Roasting攻击<\/h2>

攻击原理<\/h3>
当域用户设置了"不需要Kerberos预身份验证"时，攻击者可以直接请求该用户的TGT，KDC会返回使用用户密码加密的会话密钥，可进行离线爆破。<\/p>

攻击演示<\/h3>

使用Rubeus进行AS-REP Roasting获取hash：

Rubeus.exe asreproast
<\/code><\/pre>
<\/li>
使用John the Ripper对hash进行离线爆破<\/li>
<\/ol>
3. Kerberoasting攻击<\/h2>
攻击原理<\/h3>
服务票据(ST)使用目标服务的NTLM HASH加密(RC4-HMAC算法)，攻击者可申请ST后进行离线枚举。<\/p>
攻击步骤<\/h3>

查找域内SPN<\/li>
使用合法账户申请TGT<\/li>
使用TGT申请服务票据<\/li>
对票据进行离线爆破<\/li>
<\/ol>
4. FAST安全机制<\/h2>
FAST介绍<\/h3>
Flexible Authentication Secure Tunneling (FAST)是Windows Server 2012引入的安全功能：<\/p>

在客户端和KDC之间建立受保护的传输通道<\/li>
有效防御NoPac等漏洞<\/li>
使强制获取密钥变得困难<\/li>
<\/ul>
FAST配置方法<\/h3>

组策略中设置"KDC支持声明、复合身份认证和Kerberos Armoring"为"失败的非armoring身份验证请求"<\/li>
启用"Kerberos客户端支持声明、复合身份认证和Kerberos Armoring"<\/li>
更新组策略：gpupdate<\/code><\/li>
<\/ol>
FAST效果验证<\/h3>

开启FAST后常规TGT请求失败<\/li>
AS-REP Roasting攻击失败<\/li>
Kerberoasting攻击失败<\/li>
<\/ul>
5. FAST绕过技术<\/h2>
绕过原理<\/h3>
研究员Charlie Clark发现：<\/p>

在AS-REQ请求中将req-body中的sname指定为SPN时，AS会直接返回ST票据<\/li>
机器账户的AS-REQ请求不受FAST保护<\/li>
<\/ol>
绕过步骤<\/h3>

创建机器账户：
Import-Module .\powermad.ps1
<\/span><\/span>New-MachineAccount -MachineAccount fastbypass -Domain jctest.com -DomainController dc.jctest.com
<\/span><\/span><\/code><\/pre><\/li>
使用机器账户申请TGT（可绕过FAST）<\/li>
使用修改版Rubeus（添加\/service参数）向AS请求指定SPN的ST票据<\/li>
<\/ol>
限制<\/h3>
虽然可以绕过FAST申请TGT，但仍无法通过S4USelf协议申请ST票据<\/p>
6. 向AS申请服务票据的拓展技术<\/h2>
无SPN信息的Kerberoasting<\/h3>
研究员Sharoglazov发现：<\/p>

在不知道SPN名称的情况下，将AS-REQ中的sname值改为SPN所属用户的samAccountName值，仍可成功请求ST票据<\/li>
该技术已集成到Impacket和Rubeus中<\/li>
<\/ul>
攻击场景<\/h3>
域外机器无任何凭证，但发现配置了"不需要预认证"的用户时：<\/p>

使用kerbrute枚举域用户<\/li>
探测不需要预认证的用户<\/li>
使用Rubeus进行Kerberoasting攻击<\/li>
使用hashcat破解密码<\/li>
<\/ol>
技术要点<\/h3>

每次AS-REQ请求的cname都是配置了不需要预认证的用户<\/li>
将sname改为SPN所属用户的samAccountName值可绕过SPN未知的限制<\/li>
<\/ul>
7. 防御建议<\/h2>

禁用所有用户的"不需要Kerberos预身份验证"选项<\/li>
监控异常Kerberos请求，特别是机器账户的异常活动<\/li>
实施强密码策略，特别是对服务账户<\/li>
定期审计SPN配置<\/li>
监控TGT和ST票据的异常请求模式<\/li>
<\/ol>
8. 工具更新<\/h2>
最新版Rubeus和Impacket已集成上述绕过技术：<\/p>

Rubeus添加\/service参数可直接向AS请求ST<\/li>
Impacket支持无SPN信息的Kerberoasting攻击<\/li>
<\/ul>
通过深入理解这些技术原理，安全团队可以更好地防御此类攻击，而红队则可以更有效地测试域环境的安全性。<\/p>

域渗透之Kerberos FAST突破技术详解<\/h1>

2. AS-REP Roasting攻击<\/h2>

攻击原理<\/h3> 当域用户设置了"不需要Kerberos预身份验证"时，攻击者可以直接请求该用户的TGT，KDC会返回使用用户密码加密的会话密钥，可进行离线爆破。<\/p>

3. Kerberoasting攻击<\/h2>

攻击原理<\/h3> 服务票据(ST)使用目标服务的NTLM HASH加密(RC4-HMAC算法)，攻击者可申请ST后进行离线枚举。<\/p>

4. FAST安全机制<\/h2>

5. FAST绕过技术<\/h2>

限制<\/h3> 虽然可以绕过FAST申请TGT，但仍无法通过S4USelf协议申请ST票据<\/p>

6. 向AS申请服务票据的拓展技术<\/h2>

攻击原理<\/h3>
当域用户设置了"不需要Kerberos预身份验证"时，攻击者可以直接请求该用户的TGT，KDC会返回使用用户密码加密的会话密钥，可进行离线爆破。<\/p>

攻击原理<\/h3>
服务票据(ST)使用目标服务的NTLM HASH加密(RC4-HMAC算法)，攻击者可申请ST后进行离线枚举。<\/p>

限制<\/h3>
虽然可以绕过FAST申请TGT，但仍无法通过S4USelf协议申请ST票据<\/p>