量子哈希Set-DomainObject -Identity test2 -XOR @{userAccountControl=4194304} -Verbose
在开始之前,我想提醒大家一点:最近我发布了几篇与Kerberos协议相关的文章。大家可能已经注意到,对于这个协议的研究在国内外的研究人员中变得越来越深入。随着这个协议所产生的漏洞越来越多,甚至越来越严重。当然,这只是我的个人见解。在介绍了Kerberoasting之后,我们也要介绍一个与之密不可分的漏洞,即AS-REPRoasting。当然,要利用这个漏洞,前提是受害用户没有使用符合复杂策略的强密码。同时,我要强调的是,这个漏洞并没有像Kerberoasting那样引人注目。
简单介绍一下:对于域用户,如果设置了”不要求Kerberos预身份认证”的选项,那么向域控制器的88端口发送AS-REQ请求后,可以重新组合接收到的AS-REP内容,拼接成”Kerberos 5 AS-REP etype 23″(18200)的格式。然后,可以使用hashcat对其进行破解,最终获取该用户的明文口令。但是,默认情况下,这个选项是关闭的。
利用条件:进行Kerberos预身份验证的目的是为了防止离线密码猜测。尽管AS-REP票证本身已经使用服务密钥(在本例中为krbtgt哈希)进行了加密,但是AS-REP的”已加密部分”却使用客户端密钥(即我们为其发送AS-REQ的用户密钥)进行了加密。如果启用了”不要求Kerberos预身份认证”的选项,攻击者可以为开启该选项的用户发送AS-REQ请求,从而获取指定用户的AS-REP,并进行离线爆破。
查询满足条件的用户:使用powerview进行查询,寻找满足条件的用户(LDAP查询满足条件(userAccountControl:1.2.840.113556.1.4.803:=4194304))。
开启选项:
Rubeus.exe asreproast
注意:开启和关闭选项使用相同的命令,命令本身执行异或操作,两次异或等于未修改原数值。
导出hash:使用ASREPRoast.ps1脚本进行导出。
注意:在我的实验环境中,我无法使用该ps1脚本提取hash,所以我使用了Rubeus。
hashcat -m 18200 'hash' /temp/pwd.txt -o found.txt --force
