AD侦查中，如何防范AS-REP烘烤攻击？

本文通过 Google 翻译 AD Recon – AS-REP Roasting Attacks 这篇文章所产生，本人仅是对机器翻译中部分表达别扭的字词进行了校正及个别注释补充。 导航 0 前言 1 Keberos 预身份验证 2 AS-REP 烘烤攻击简介 3 搜寻 AS-REP 可烘烤用户 – 远程 3.1 通过 SNMP、RPC、LDAP(S) 匿名查询用户 3.2 使用 Kerbrute 暴力枚举 3.3 其它因素 4 AS-REP 烘烤攻击 – 远程 4.1 GetNPUsers.py 5 搜寻 AS-REP 可烘烤用户 – 本地 5.1 PowerView.ps1 5.2 Import-ActiveDirectory.ps1 6 AS-REP 烘烤攻击 – 本地 6.1 Rubeus.exe 6.2 Invoke-Rubeus.ps1 7 破解 AS-REP 哈希 8 场景示例 0、前言 在这篇文章中，我们将了解 AS-REP 烘烤（AS-REP Roasting）攻击是什么，以及如何通过远程和本地的方式去执行这些攻击操作。 首先，我们将简要了解 Kerberos 预身份验证和 AS-REP 烘烤攻击的工作原理；接着，学习如何远程搜索域中可进行 AS-REP 烘烤的用户，以及如何远程执行 AS-REP 烘烤攻击以转储可烘烤用户的哈希值；然后，在已建立立足点的情况下，以本地的方式去搜索可进行 AS-REP 烘烤的用户以及本地执行 AS-REP 烘烤攻击；最后，通过 Hashcat 破解转储（多种方式转储）的哈希值。 1、Keberos 预身份验证 Kerberos 预身份验证是 Active Directory 环境中每个域用户默认启用的功能。 正常情况下，当域用户需要访问资源时，首先它需要向域控制器 (DC) 上的密钥分发中心 (KDC) 发送身份验证请求 AS-REQ【该请求中会包含一个通过当前用户密钥加密后的时间戳】，KDC 在收到验证请求之后会使用该用户对应的密钥将这个已加密的时间戳进行解密【域中保存着所有域用户的密钥哈希】，如果解密成功且时间戳在有效范围之内，则返回一个 AS-REP 包进行响应【该响应中会会包含一张 TGT 票据以及一个通过用户密钥加密的会话密钥】。 而如果域用户禁用了预身份验证功能，那么在上述的身份验证交互中，KDC 便会跳过对 AS-REQ 请求中加密时间戳进行解密验证的步骤，但仍会返回一个通过用户密钥加密的会话密钥的 AS-REP 响应。于是，攻击者便可以获取这类域用户的 AS-REP 消息，然后通过 Hashcat 去离线破解以获得用户密钥。 2、AS-REP 烘烤攻击简介 AS-REP 烘烤攻击是一种用来转储已禁用 Kerberos 预身份验证的用户账户的哈希值的技术，它与 Kerberoasting 攻击不同的是，此类攻击涉及的用户不仅限于服务帐户，任何帐户都可以通过简单地选中一个框来关闭预身份验证功能。 执行 AS-REP 烘烤攻击的唯一要求就是需要获得那些已禁用预身份验证的用户名称列表。然而，这说起来容易做起来却难... 例如，如果我们刚刚开始枚举并试图远程执行攻击，那么我们需要找到一种方法来从 SNMP、RPC、LDAP 等服务中转储域用户列表。否则，就只能寄希望于运气通过暴力破解用户名以获得域用户列表。 亦或者，如果我们已在域主机上获得了立足点，那就可以轻松枚举域用户以及 AS-REP 可烘烤用户。 这也说明 AS-REP 烘烤技术既是一种初始访问的技术，也是一种权限提升的技术。 现在，我们已经了解了 Kerberos 预认证和 AS-REP 烘烤攻击，接下来就来看一些示例吧！ 3、搜寻 AS-REP 可烘烤用户 – 远程 在这个示例中，我们将远程枚举 AS-REP 可烘烤（Roastable）用户。 假设我们已经知道了目标网络的 IP 地址段为 172.16.1.0/24，但目前还不知道任何用户名和密码，只是使用 nbtscan 收集到了 IP 地址和主机名的映射列表。 nbtscan 172.16.1.0/24 从上面的结果可以看到，网络中有三台主机和一个 DC。此时，我们希望能够通过匿名访问 SNMP、RPC、LDAP(S) 中的任一项服务来枚举 DC，以便能够转储域用户列表。 另外，我们还可以检查所有主机/DC 上的 SMB 共享、非标准服务（http(s)、ftp 等）以及暴力枚举等方法去获得一些用户列表。 可用于查找用户名的技术取决于目标机器有哪些服务是开放的，以及我们可以从中枚举到什么。