Kerberoast

一、背景知识

kerberoast攻击发生在kerberos协议的TGS-REP阶段，kerberos协议流程图如下：

1、用户正常访问某服务流程

首先用户将 AS-REQ 数据包发送给 KDC 密钥分发中心，要对一个域进行身份验证。
KDC 收到用户的请求后会验证用户的凭据，如果凭据有效，则返回 TGT 认购权证，该 TGT 认购权证用于以后的 ST 服务票据的请求。
如果用户想通过身份认证访问某个服务的话，那么他需要发起票据授予请求，请求中包含 TGT 以及所请求服务的 SPN 服务主体名称。
如果 TGT 有效并且没有过期，那么 TGS 会从 TGT 认购权证中提取信息创建一个用于访问目标服务的一个 ST 服务票据，该 ST 服务票据使用服务账户的凭据进行加密。然后，域控制器开始查找哪个帐户在 ServicedPrincipalName（SPN）字段中注册了所请求的 SPN。
用户收到包含了服务票据的 TGS 响应数据包。
最后，服务票据会转发给目标服务，然后使用服务账户的凭据进行解密。

2、Kerberoast攻击过程

由于KDC返回的ST票据，使用了SPN账户的NTLM哈希加密，并且攻击者可以与KDC协商此ST的加密算法，如果域控支持使用不安全的加密算法，可能导致ST票据中，SPN账户的NTLM哈希被攻击者离线破解

攻击者对一个域进行身份验证，然后从域控制器获得一个TGT认购权证，该TGT认购权证用于以后的ST服务票据请求
攻击者使用 TGT认购权证发出ST服务票据请求（TGS-REQ）获取特定形式(name/host)的 ServicePrincipalName (SPN)例如: MSSdlSvc/SQL.domain.com。此SPN在域中是唯一的，并且在用户或计算机帐户的servicePrincipalName 字段中注册在服务票证请求(TGS-REQ)过程中，攻击者可以指定它们支持的Kerberos加密类型(例如RC4_HMAC_MD5，AES256_HMAC_SHA1等等)。
如果攻击者的 TGT 是有效的，则DC 将从TGT认购权证中提取信息并填充到ST服务票据中。然后，域控制器查找哪个帐户在ServicedPrincipaName 字段中注册了所请求的 SPN。ST服务票据使用SPN账户的NTLM哈希进行加密，并使用攻击者和服务帐户共同商定的不安全的加密算法（RC4_HMAC_MD5）。ST服务票据以服务票据回复(TGS-REP)的形式发送回攻击者。
攻击者从 TGS-REP 中提取加密的服务票证。由于服务票证是用所属的SPN账户的NTLM哈希加密的，所以攻击者可以离线破解这个加密块，恢复SPN帐户的明文密码。

二、利用条件

控制了域内机器或某域账号凭据
域内有属于普通域账号的SPN服务

虽然域环境内有很多默认的SPN服务，但这些默认服务基本所属于机器账号，而机器账号的密码是随机的，破解难度很高，因此这部分默认服务没有利用价值，攻击者需要先筛选出所属在域账户下的SPN服务。
域内的基本账号分为2类，域账号，以及机器账号，而SPN账号是域账号名下创建了SPN服务，就成为了SPN账号
组策略对Kerberos的加密类型支持RC4_HMAC_MD5算法

RC4_HMAC_MD5较其它加密算法（如AES）破解速率更快，因此攻击成功率更高

三、利用过程

测试环境：

主机名	主机IP	主机账户	主机描述
dc-main-1.qiuqiu.com	10.10.10.10	qiuqiu.com\domain_admin	主域
user1.qiuqiu.com	10.100.0.6	qiuqiu.com\yefan	普通域内机器，被攻击者控制

1、探测可利用的SPN账号

cscript.exe .\GetUserSPNs.vbs

2、请求访问服务的ST票据

请求到的目的服务的ST票据，使用了服务所属的SPN账号的NTLM哈希加密，如果加密算法不安全，有概率破解出账号的明文密码。

// 列举出所有可利用的普通域账号的SPN服务票据，并输出为hashcat可破解的格式

Rubeus.exe kerberoast /nowrap /format:hashcat

etype为23，表明使用RC4_HMAC_MD5算法加密：

3、离线破解凭据

将上述hash字符串保存到文件中后，可使用hashcat尝试破解，使用字典，或者使用掩码枚举破解方式：

使用字典破解

// -d 1：选择后端计算的硬件设备，如CPU或GPU
// -m 13100：对应「Kerberos 5, etype 23, TGS-REP」加密算法
// --force：忽略某些硬件警告并启动hashcat
// -a 0：使用字典破解

hashcat.exe -d 1 -m 13100 --force -a 0 kerberoast.txt pass.txt

使用掩码破解

此功能需要GPU支持


// -O：启用内核优化
// -1：定义1的掩码类型，具体参阅官网
// ?1?1?1?1?1?1?1?1：总共8位以内的密码长度，每一位用的1类型掩码

hashcat.exe  -m 13100 -a 3 .\kerberoast.txt -O -1 ?l?u?d ?1?1?1?1?1?1?1?1

这里可以看到破解速率为840w个哈希每秒，总进度为0.01%，等待一段时间后，成功破解出密码：

四、风险加固

1、配置较强的密码策略

域控默认密码策略最低运行长度为7，需要强制密码策略满足安全需求。

2、禁用不安全的加密算法

需要在每个域控本地组策略中禁用默认开启的RC4_HMAC_MD5加密算法即可：

修改完成后使用以下命令强制更新组策略：

gpupdate /force

最后再测试一下，如果攻击者获取到AES加密的TGS-REP密文，解密将非常困难，破解速率跌到了78w个哈希每秒，相比RC4降低了10倍：

// -m 19700：19700 | Kerberos 5, etype 18, TGS-REP，etype为18表明使用AES256_HMAC加密

hashcat.exe  -m 19700 -a 3 .\kerberoast.txt -O -1 ?l?u?d ?1?1?1?1?1?1?1?1

打赏