点击上方“蓝字”,关注更多精彩
0x00 前言
最近因为工作压力有些大,生活学习工作时间无法很好平衡,给自己了一段时间冷静打气,重新起航,希望不辜负大家的期待。
0x01 漏洞概述
AS-REP Roasting是一种对用户账号进行离线爆破的攻击方式。比较鸡肋的一种攻击,需要手动关闭限制,需要用户账号设置 "Do not require Kerberos preauthentication" (不需要kerberos预身份验证)。而该属性默认是没有勾选上的。
Kerberos预身份验证是啥?
所谓预身份验证是Kerberos身份验证的第一步(AS_REQ & AS_REP),它的主要作用是防止密码脱机爆破。默认情况下,预身份验证是开启的,KDC会记录密码错误次数,防止在线爆破。
如果用户开启了不使用Kerberos预认证(Do not require Kerberos preauthentication),攻击者可以通过Kerberos AS-REP请求,获取到经过用户的hash加密过TGT票据,然后他就可以离线破解这个凭证了。
我们随便搭建一个域环境,在一个用户的设置选项下就可以看到如下图
可以看到这里默认是没有勾选的,也就是要求Kerberos预身份验证。
AS-REP Roasting攻击条件
-
域用户设置了 “ Do not require Kerberos preauthentication”(不需要kerberos预身份验证) -
需要一台可与域控进行通信的主机 / 用户
0x02 漏洞环境搭建
先搭建一个域环境,然后新建一个用户,我这里是zhangsan。同时我们这里为了复现漏洞,勾选上Do not require kerberos preauthentication。
又新建了一个没有开启此选项的lisi用户用来做对比实验
0x03 漏洞复现
我们现在假设已经拿到了lisi用户的权限,那么复现过程大概分两个部分:
-
利用多种工具枚举出开启此选项的域用户 -
导出hash并离线暴力破解
步骤一:枚举用户
使用Rubeus探测
域渗透利器,唯一缺点就是需要域用户机器中存在.NET3.5环境,不然无法使用此工具。
使用起来十分方便,直接运行就可以出来开启了此选项的用户以及HASH
使用GetNPUsers.py探测
此工具是impacket工具包中的,同时也被收集到了kali中
1、先通过域内用户收集域成员
2、域外的kali使用impacket-GetNPUsers来探测开启选项的用户,单用户探测:
impacket-GetNPUsers test.com/zhangsan -no-pass -dc-ip 192.168.111.7 -format john -outputfile hash.txt
批量用户探测命令如下:
impacket-GetNPUsers test.com/ -no-pass -dc-ip 192.168.111.7 -usersfile users.txt -format john -outputfile hash.txt
使用PowerView枚举
这款工具是集成在PowerSploit里面的,开发者:HarmJ0y
https://github.com/PowerShellMafia/PowerSploit/tree/master/Recon
但是想要利用此工具,必须是管理员权限的powershell才可使用,本地使用时对powershell版本要求很高,这里并不推荐!
步骤二:hash离线爆破
john
john the ripper是一款免费、开源的暴力密码破解器,它有多平台版本,支持目前大多数的加密算法,如DES、MD4、MD5等。该软件破解密码方式简单而粗暴,理论上只要时间上面允许,该软件可以破译绝大多数用户密码。John the Ripper免费的开源软件,支持目前大多数的加密算法,如DES、MD4、MD5等。它支持多种不同类型的系统架构,包括Unix、Linux、Windows、DOS模式、BeOS和OpenVMS,主要目的是破解不够牢固的Unix/Linux系统密码。
说个题外话,这个工具的原型名称是开膛手杰克jack the ripper
#先解压字典,rockyou字典十分强大
gzip -d /user/share/wordlists/rockyou.txt.gz
#使用john命令
john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt
上述利用Rubeus或者GetNPUsers导出的hash,可以直接用john工具破解
hashcat
Hashcat是自称世界上最快的密码恢复工具。它在2015年之前拥有专有代码库,但现在作为免费软件发布。适用于Linux,OS X和Windows的版本可以使用基于CPU或基于GPU的变体。支持hashcat的散列算法有Microsoft LM哈希,MD4,MD5,SHA系列,Unix加密格式,MySQL和Cisco PIX等。
hashcat独立工具可以在此网址下载:https://hashcat.net/hashcat/
使用手册可参考:https://xz.aliyun.com/t/4008
也可以用kali自带的hashcat工具
不过注意,上述利用Rubeus或者GetNPUsers导出的hash,需要更改一下格式才可以用hashcat破解。
也就是在$krb5asrep字段后面添加个$23
hashcat -m 18200 hash.txt pass.txt --force
hashcat.exe -m 18200 hash.txt pass.txt --force
pass.txt文件里面就是密码字典,可以自定义自行收集
0x05 总结
1、通过Rubeus.exe或者GetNPUsers.py来枚举开启Do not require Kerberos preauthentication的用户,导出hash进行离线破解。
2、破解hash可以用john-the-ripper或者hashcat来破解。
3、上述Rubeus或者GetNPUsers导出的hash,利用john破解的时候,需要手工gz解压自带的rockyou.txt.gz;使用hashcat破解时,可以自定义字典,但是需要更改hash的格式,加一个$23。
4、实战中肯定会很少看到开启这个选项,所以在内网渗透中我们一般是用此漏洞进行权限维持。
0x06 防御建议
1、确保域内不存在开启”Do not require Kerberos preauthentication”的用户,扫描方法也就是我们之前说的那么多工具,都可以用。
Import-Module .PowerView.ps1
Get-DomainUser -PreauthNotRequired -Verbose
2、域用户强制使用复杂口令,提高被字典和暴力破解的难度
Rerferences
https://www.4hou.com/posts/ZpYE
https://cloud.tencent.com/developer/article/1937051
http://www.scantime.cn/?p=825
https://zhuanlan.zhihu.com/p/474523090
https://blog.csdn.net/qq_44159028/article/details/123716747
往期推荐
内网渗透 | CVE-2022-26923 ADCS域提权漏洞分析与复现
郑重声明:该公众号大部分文章来自作者日常工作与学习笔记,也有少数文章是经过原作者授权转载而来,未经授权,严禁转载。如需要,请公众号私信联系作者。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与原作者以及本公众号无关。
原文始发于微信公众号(HACK技术沉淀营):内网渗透 | AS REQ Roasting攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论