内网渗透(六十一)之Kerberosating攻击

Kerberosating攻击

Kerberosating攻击发生在Kerberos协议的TGS_REP阶段，KDC的TGS服务返回一个由服务Hash 加密的ST给客户端。由于该ST是用服务Hash进行加密的，因此客户端在拿到该ST后可以用于本地离线爆破。如果攻击者的密码字典足够强大，则很有可能爆破出SPN链接用户的明文密码。如果该服务在域内被配置为高权限运行，那么攻击者可能接管整个域。

整个过程的核心点在于，攻击者和KDC协商ST加密的时候，协商的是使用RC4_HMAC_MD5加密算法。而该加密算法比较容易被破解，因此攻击者能在本地进行离线爆破。

Kerberosating攻击过程

1）攻击者提供一个正常的域用户密码对域进行身份认证，KDC在验证账户和密码的有效性，会返回一个TGT。该TGT用于以后的ST请求。

2）攻击者使用获得的TGT请求针对指定SPN的ST。在请求服务票据的TGS-REQ过程中，攻击者可以指定其支持的Kerberos加密类型为RC4_HMAC_MD5(ARCFOUR-HMAC-MD5),因为RC4_HMAC_MD5加密算法比较相比于其他加密算法更容易被破解。

3）如果攻击者的TGT是有效的，不管提供的域账户有无访问指定SPN服务的权限，KDC都会查找哪个账户在ServicedPrincipalName属性中注册了所请求的SPN，然后用该用户的Hash以RC4_HMAC_MD5加密类型加密ST并在TGS_REP包中发送给攻击者。

4）攻击者从TGS_REP包中提取加密的ST。由于