AS-REP Roasting

一、背景知识

AS-REP Roasting攻击发生在kerberos协议的AS-REP阶段，kerberos协议流程图如下：

AS-REP Roasting是一种对用户账号进行离线爆破的攻击方式。但是该攻击方式利用比较局限，因为其需要用户账号禁用kerberos预身份验证属性，而该属性默认是开启的。

当账号关闭了预身份验证后，攻击者就可以随意请求此账号的TGT票据，此时域控不会作任何验证就返回经过账号NTLM哈希加密的TGT票据。如果攻击者破解成功，就能得到该指定用户的明文密码。禁用kerberos预身份验证的场景，可能在域内需要使用公共账号访问资源的情况下存在。

二、利用条件

• 控制了域内机器或某域账号凭据

  虽然理论上账号在禁用Kerberos预身份认证的情况下，攻击者只要能与域控连通，都可以请求此账号的TGT票据，但如果不能查询ldap，就需要挨个枚举账号，而有一个域账号权限的情况下，是可以查询出哪些账号禁用了Kerberos预身份认证

• 组策略对Kerberos的加密类型支持RC4_HMAC_MD5算法

• 域内有账号禁用了Kerberos预身份认证

三、利用过程

测试环境：

1、获取域内所有可利用账号的TGT

通过Rubeus工具可以直接探测和获取域内所有禁用了Kerberos预身份认证账号的TGT票据：

Rubeus.exe asreproast /nowrap /format:hashcat

etype为23表明是RC4加密方式：

2、离线破解凭据

将上述hash字符串保存到文件中后，可使用hashcat尝试破解，使用字典，或者使用掩码枚举破解方式，这里只演示使用掩码破解：

// -m 18200：对应的hash类型为「Kerberos 5, etype 23, AS-REP」

hashcat.exe  -m 18200 -a 3 .\kerberoast.txt  -1 ?l?u?d ?1?1?1?1?1?1?1?1

3、直接使用获取到的TGT凭据

不再赘述

四、风险加固

尽量不使用这个功能，或与Kerberoast攻击的加固方式相同。

打赏

微信扫一扫，打赏作者吧～