域渗透之AS-REP Roasting

目录

AS-REP Roasting

利用 Rubeus.exe

利用 Powerview.ps1


AS-REP Roasting

我们在Kerberos协议认证原理中讲过,AS_REQ & AS_REP 认证的过程是 Kerberos 身份认证的第一步,该过程又被称为预身份验证。预身份验证主要是为了防止密码脱机爆破。

而如果域用户设置了选项 "Do not require Kerberos preauthentication"(该选项默认没有开启)关闭了预身份验证的话:

攻击者可以使用指定的用户去请求票据,向域控制器发送AS_REQ请求,此时域控会不作任何验证便将 TGT 票据和加密的 Session-key 等信息返回。因此攻击者就可以对获取到的加密 Session-key 进行离线破解,如果爆破成功,就能得到该指定用户的明文密码。

这种攻击方式被称作 AS-REP Roasting 攻击。下面演示攻击过程。

利用 Rubeus.exe

项目地址:GitHub - GhostPack/Rubeus: Trying to tame the three-headed dog.

首先我们使用 Rubeus 工具来寻找可以利用的用户并将其哈希值导出

Rubeus.exe asreproast

 如上图所示,成功找到了可以利用的用户 bunny 并得到了该用户的哈希,然后我们使用 Hashcat 等工具对获得的 Hash 进行爆破就行了。

将哈希值保存到 hash.txt 中,并且修改为 Hashcat 能识别的格式,即在$krb5asrep后面添加一个$23拼接:

 然后利用Hashcat爆破就行了:

hashcat.exe -m 18200 hash.txt wordlists.txt --force
#hashcat.exe -m 18200 <哈希值> <字典密码>

 如下图所示,爆破成功,得到明文密码:

 利用 Powerview.ps1

项目地址:GitHub - EmpireProject/Empire: Empire is a PowerShell and Python post-exploitation agent.

我们也可以利用 Empire 框架下的 powerview.ps1 查找域中设置了 "不需要kerberos预身份验证" 的用户。

Import-Module .\powerview.ps1 #导入模块
Get-DomainUser -PreauthNotRequired #查找在域中设置了"不需要kerberos预身份验证的用户

如上图,我们找到了bunny用户。

使用ASREPRoast.ps1获取AS-REP返回的Hash:

ASREPRoast.ps1 项目地址:GitHub - HarmJ0y/ASREPRoast: Project that retrieves crackable hashes from KRB5 AS-REP responses for users without kerberoast preauthentication enabled.

Import-Module .\ASREPRoast.ps1 #导入模块
Get-ASREPHash -UserName bunny -Domain whoamianony.org
#-UserName <用户名> -Domain <域名>

 然后我们使用 Hashcat 等工具对获得的 Hash 进行爆破就行了。

将哈希值保存到 hash.txt 中,并且修改为 Hashcat 能识别的格式,即在$krb5asrep后面添加一个$23拼接。

然后利用Hashcat爆破就行了:

hashcat.exe -m 18200 hash.txt wordlists.txt --force
#hashcat.exe -m 18200 <哈希值> <字典密码>

 如下图所示,爆破成功,得到明文密码:

 相关文章:内网渗透测试:Kerberos协议相关安全问题分析与利用 - FreeBuf网络安全行业门户

posted @ 2022-12-13 19:38  私ははいしゃ敗者です  阅读(30)  评论(0编辑  收藏  举报  来源