前言
对AD域攻击的前期,在没有任何域内据点或域用户凭据时,攻击者往往会使用用户名枚举、密码爆破、密码喷洒、Roasting等手段进行域用户凭据的窃取,本篇文章将针对AD域攻击时无权限环境下对域用户的信息收集及凭据窃取进行分析。
用户名枚举&密码爆破/喷洒
在 Kerberos 协议认证的 AS-REQ 阶段,cname 的值是用户名。当用户不存在时,返回包提示错误。当用户名存在,密码正确和密码错误时,AS-REP的响应内容不一样。所以可以利用这点,对域内进行域用户枚举和密码喷洒等攻击。
用户枚举
正常域用户登录主机,我们可以通过 net user /domain来列举出域内的用户。但是当我们用非域用户进行登录时,是不能使用 net user /domain这条命令的。而当主机不在域内但是能与域控通信时,我们可以通过域内用户枚举来探测域内的用户。
在AS-REQ阶段客户端向KDC发送用户名,KDC对用户名进行验证,用户存在和不存在返回的数据包不一样。
当用户名存在,密码错误:返回KRB5DC_ERR_PREAUTH_REQUIRED,并携带e-data数据。
当用户名不存在:返回KRB5DC_ERR_C_PRINCIPAL_UNKNOWN,不携带e-data数据。
密码喷洒/密码爆破
在大多数域内会使用密码策略,密码错误尝试次数超过指定次数后会导致账号被锁定,因此在实战环境中密码爆破应用较少,我们在此不展开做过多的介绍。
密码喷洒顾名思义是用一个密码去碰撞很多账号,此方法能有效的避免账号被锁定的问题,因此可以通过用户名枚举获取到域内用户后,使用通用密码进行喷洒攻击。
在确认用户存在后,客户端又会发送一个AS-REQ请求,如果密码正确,则返回AS-REP。否则返回 KRB5KDC_ERP_PREAUTH_FAILED
密码正确:
密码错误:
kerberoasting
我们简单回顾服务票据的请求流程,当域内用户去请求域内某个服务资源时,先会通过AS-REQ进行身份认证,通过后会返回TGT给用户,用户使用TGT发起TGS请求,KDC会返回一个用对应服务账户的Hash加密的服务票据。那么如果我们有一个域用户的凭据可以正常申请TGT,就可以申请指定服务的TGS票据,因该票据使用服务账户的Hash进行加密,当获取到加密后的TGS票据后,即可根据离线爆破得到服务账户的密码,这样请求服务账号票据进行离线爆破的攻击手法叫做Kerberoasting。
在Kerberoasting攻击的两个关键点:
1、服务账户,服务账户分为两种,一种是计算机账号,一种是配置了SPN的用户账户。计算机账号的口令由系统随机设置,而且每30天自动变更一次,几乎不能被破解。而服务账号存在很大的特殊性,口令在应用软件安装时由软件自动设定或由用户自己配置,复杂度远低于主机账号,由于该账户被应用在某些服务上,为了保障服务的不间断运行,口令也几乎不会更改。所以在利用时优先选择服务账号。
2、弱加密算法。windows2008和vista操作系统之后,大部分报文采用AES加密,同时也会因为保证兼容支持rc4_hmac_nt加密,使用哪一种由客户端和与服务器协商,因此我们可以通过指定弱加密算法进行协商,以便我们进行破解。
请求服务票据
通过impacket工具包中的getuserspns.py来自动请求具有kerberoasting条件账户的票据。
请求票据过程的数据包:
TGS-REQ数据包:正在请求http://CS.COM域中的MSSQLSvc/http://sql.cs.com:1433 SPN
TGS-REP数据包
AS- REP Roasting
AS-REP Roasting是一种对用户账号进行离线爆破的攻击方式。但是该攻击方式利用比较局限,因为其需要用户账号设置 Do not require Kerberos preauthentication (不需要kerberos预身份验证) 。而该属性默认是没有勾选上的。
预身份验证是Kerberos身份验证的第一步(AS_REQ & AS_REP),它的主要作用是防止密码脱机爆破。默认情况下,预身份验证是开启的,KDC会记录密码错误次数,防止在线爆破。
当关闭了预身份验证后,攻击者可以使用指定用户去请求票据,此时域控不会作任何验证就将 TGT票据 和 该用户Hash加密的Session Key返回。因此,攻击者就可以对获取到的用户Hash加密的Session Key进行离线破解,如果破解成功,就能得到该指定用户的明文密码。
AS-REP Roasting攻击条件
域用户设置了Do not require Kerberos preauthentication(不需要kerberos预身份验证) 。
请求用户票据
通过impacket工具包中的getuserspns.py来自动请求具有kerberoasting条件账户的票据。
我们通过流量包对比,可以很明显看出开启预身份验证的流量包中直接返回了该用户的TGT票据。
工具分析
我们选择用户名枚举、爆破、喷洒应用比较多的一款工具“kerbrute”以及Kerberoasting、AS-REP Roasting应用比较多的“Impacket”两款工具进行分析,从代码上实现对于这几种攻击方式的利用。
用户名枚举
首先通过gokrb5库中NewKerbruteSession()函数构建krb5的一些必要配置结构体。
使用NewClientWithPassword() 函数,传入用户名、域名、域配置等信息创建客户端实例。
接着使用NewASReqForTGT()函数生成AS-REQ结构体。
再使用sendKDCTCP()函数,将AS-REQ发送至KDC。
根据KDC响应的错误信息结构体中的ErrorCode字段,判断响应的Error是否为KDC_ERR_PREAUTH_REQUIRED。
KDC_ERR_PREAUTH_REQUIRED标识响应码为25,若检测到响应码为25,则在控制台输出检测到的该用户名,实现枚举用户名的利用。
密码爆破/喷洒
爆破、喷洒相对简单一些,可以直接创建客户端实例,后调用gokrb5中的Login()函数,通过ASReq请求TGT票据,根据响应的Error判断是否登录成功.爆破的逻辑即是如此,喷洒亦然。
对于该函数的实现,无非是序列化结构体、向KDC发送数据,处理响应Error的一些内容,除非在解决一些协议实现上的BUG外,我们可以暂时不用深究。
Kerberoasting
对于Kerberosting,攻击者使用的比较多的就是GetUserSPNs.py这款工具,我们可以从它的代码来分析如何实现攻击
首先可以看到这个工具进行了一次ldap查询:
Ldap查询的过滤语法为
(&(servicePrincipalName=*)(UserAccountControl:1.2.840.113556.1.4.803:=512)(!(UserAccountControl:1.2.840.113556.1.4.803:=2))(!(objectCategory=computer))从过滤器中可以看到对servicePrincipalName、UserAccountControl、objectCategory三个属性进行了筛选,其中servicePrincipalName=* 和(!(objectCategory=computer)很好理解,就是表示 spn不为空并且不是计算机账户,UserAccountControl的语法比较难理解,这里1.2.840.113556.1.4.803一串字符是被称作oid,这个oid是ldap里面的拓展匹配规则,微软也在文档中列出了oid和匹配规则名的对应关系。
从名称可以看出1.2.840.113556.1.4.803这个oid表示的是与运算,至于后面的512和2可以参考UserAccountControl属性的各个比特位的含义。
所以这里(UserAccountControl:1.2.840.113556.1.4.803:=512)表示的是查询一个普通用户账户,(!(UserAccountControl:1.2.840.113556.1.4.803:=2))表示账户未被禁用。
在加入-request参数之后又去请求查询到的带spn的用户账户TGS票据。
最后输出成hashcat可以破解的格式。
这里拼接的使用到的参数有加密类型、用户名、域名、spn以及TGS-REP中的ticke,也就是用带spn用户的密码加密的密文部分。
AS-REP Roasting
ASRepRoasting攻击在impacket工具中也有相应的实现,GetNPUsers.py
和GetUserSpns.py工具类似,GetNPUsers.py
在开始也是进行ldap查询。
这里写的比较清晰,查询的是不需要预认证并且没有被禁用的非计算机账户,再判断request参数是否为True,如果是的话就去请求查询到账户的TGT。
getTGT方法直接返回了hastcat或者jtr可以破解的格式。
可以看到这里拼接使用的是加密类型、用户名、域名、以及最关键的AS-REP中的encpart中的密文部分(由用户的密码加密)。
结语
通过对用户名枚举、密码爆破、密码喷洒、Kerberoasting、AS-REP Roasting进行分析,可以比较清晰地看到这几种攻击的原理,以及目前攻击者常用的攻击工具对这几类攻击手法的实现方式,以便我们对此类攻击进行更深入的分析和检测。
