被墙域名黑别人网站,模仿网站建设,网站改版404页面,网站外连kdc#xff1a;192.168.72.163 客户端#xff08;机器账户win10#xff09;#xff1a;192.168.72.159 用户#xff1a;administrator 抓包#xff1a;开机登录win10#xff0c;使用administrator域用户凭据登录。
生成 Kerberos 解密文件 抓取 krbtgt 用户和 win1… kdc192.168.72.163 客户端机器账户win10192.168.72.159 用户administrator 抓包开机登录win10使用administrator域用户凭据登录。
生成 Kerberos 解密文件 抓取 krbtgt 用户和 win10 机器账户的 hash 。 krbtgt 用户的 hash 是为了解密 as-rep 中 tgt 里的加密部分。 机器账户的 hash 是为了解密 tgs-rep 中 st 里的加密部分使用 administrator 登录机器需要向 kdc 申请 st。
抓取 hash 内容如下
打开mimikatz
lsadump::dcsync /user:hacker\krbtgt
lsadump::dcsync /user:hacker\win10$
krbtgt 和 win10$ 的 hash 分别如下 使用脚本生成解密文件 https://github.com/dirkjanm/forest-trust-tools/blob/master/keytab.py 为生成解密文件的工具
下载脚本后替换脚本的 key 为krbtgt 和 win10$ 的 hash 如下图所示 执行命令python keytab.py 1.kt 后
生成的 1.kt 就是解密 流量的文件
登录时抓包 当开启 win10 机器后输入域用户 administrator 账号密码进行登录并使用 wireshark 抓包。 打开 wireshark 并导入 1.kt 解密文件如下图点击 “编辑” 再点击 “首选项”找到 “KRB5协议” 引入解密文件 1.kt 抓包分析 此时我们就能分析 kerberos 的报文了这里我们只看关键部分。我们先分析前4个包。
as-req 关键部分 pA-ENC-TIMESTAMP用户 hash 加密的时间戳 cname发起请求的用户administrator sname要访问的服务krbtgt
as-rep 图中的 ticket 就是 tgt。
关键部分 tgt加密部分中的 key 是 tgt 内部的 Logon Session Key。 authorization-data 存放的 PAC 信息如下图。 tgs-req
关键部分 发送的 tgt 。 发送的 Logon Session Key 加密的时间戳。 其他信息。 tgs-rep
关键部分 ticket 就是返回的 st 。 enc-part 中的 key Logon Session Key 加密的 Server Session Key。 多出来的 tgs-req 和 tgs-rep
这里还多出来一个 tgs-req 和 tgs-rep这是怎么回事呢
其实 administrator 登录 win10 后不光申请了访问 win10 机器账户的 st也申请了访问域控机器账户的 st这样用户在 win10 上访问域控的话能直接使用这个访问域控的 st不需要另行申请了。也就是说 administrator 仅使用了1个 tgt 就申请到了2个 st。
但是我们观察它申请出来的 st 没有被解密如下图这是因为这里的st是被域控机器账户的 hash 加密了而我们生成解密文件 1.kt 时没有引入域控机器账户的 hash 。
