域环境

由于Kerberos主要是用在域环境下的身份认证协议,所以在说之前先说下域环境的一些概念。首先域的产生为了解决企业内部的资源管理问题，比如一个公司就可以在网络中建立一个域环境,更方便内部的资源管理。在一个域中有域控、域管理员、普通用户、主机等等各种资源。
在下图中YUNYING.LAB为其他两个域的根域，NEWS.YUNYING.LAB 和DEV.YUNYING.LAB均为YUNYING.LAB的子域，这三个域组成了一个域树。子域的概念可以理解为一个集团在不同业务上分公司,他们有业务重合的点并且都属于YUNYING.LAB这个根域，又独立运作。同样TEST.COM也是一个单独的域树，两个域树YUNYING.LAB和TEST.COM组合起来被称为一个域林。

Kerberos 简介

在Kerberos认证中,最主要的问题是如何证明「你是你」的问题，如当一个Client去访问Server服务器上的某服务时，Server如何判断Client否有权限来访问自己主机上的服务，同时保证在这个过程中的通讯内容即使被拦截或篡改也不影响通讯的安全性,这正是Kerberos解决的问题。在域渗透过程中Kerberos协议的攻防也是很重要的存在。

Kerberos 协议框架

在Kerberos协议中主要是有三个角色的存在:

访问服务的Client;
提供服务的Server;
KDC(Key Distribution Center)密钥分发中心。

其中KDC服务默认会安装在一个域的域控中，而Client和Server为域内的用户或者是服务，如HTTP服务, SQL服务。在Kerberos中Client否有权限访问Server端的服务由KDC发放的票据来决定。
如果把Kerberos中的票据类比为一张火车票,那么Client端就是乘客，Server 端就是火车,而KDC就是就是车站的认证系统。如果Client端的票据是合法的(由你本人身份证购买并由你本人持有)同时有访问Server端服务的权限(车票对应车次正确)那么你才能上车。当然和火车票不一样的是Kerberos中有存在两张票，火车票从头到尾只有一张。

由上图中可以看到KDC又分为两个部分:
Authentication Server: AS 的作用就是验证Client端的身份(确定你是身份证上的本人)，验证通过就会给一张TGT (Ticket Granting Ticket)票给Client。
Ticket Granting Server: TGS的作是通过AS发送给Client的票(TGT)换取访问Server端的票(上车的票ST)。ST (ServiceTicket)也有资料称为TGS Ticket,为了和TGS区分,在这里就用ST来说明。

KDC 服务框架中包含一个 KRBTGT账户，它是在创建域时系统自动创建的一个账号，你可以暂时理解为他就是一个无法登陆的账号，在发放票据时会使用到它的密码 HASH值。

Kerberos 认证流程

当 Client想要访问Server 上的某个服务时，需要先向 AS证明自己的身份，然后通过AS发放的 TGT 向 Server发起认证请求，这个过程分为三块：

The Authentication Service Exchange：Client与AS的交互
The Ticket-Granting Service (TGS) Exchange：Client 与 TGS 的交互
The Client/Server Authentication Exchange：Client 与Server 的交互。

TheAuthentication Service Exchange

Client向AS发送自己的ID 、网络地址等信息，经过Client的hash加密。(KRB_AS_REQ)
AS向Client发送两条消息，一条是经过Client密码加密的TGS-Session-Key,用作与TGS交互的密钥.另一条消息就是TGT,TGT包括TGS-Session-Key以及时间戳等信息，由KRBTGT账户的hash加密，该账户是域创建时自动创建的账号。(KRB_AS_REP)

TheTicket-Granting Service (TGS) Exchange

Client接收到了加密后的TGS-Session-Key和 TGT 之后，用自身密码解密得到 Sessionkey-as，TGT是由KDC密码加密，Client无法解密。这时 Client再用 Sessionkey-as 加密 TimeStamp和 TGT 一起发送给KDC中的 TGS（TicketGranting Server）票据授权服务器换取能够访问 Server的票据。
TGS 收到 Client发送过来的 TGT和 Sessionkey-as加密的 TimeStamp 之后，首先会检查自身是否存在 Client 所请求的服务。如果服务存在，则用 KRBTGT 密码解密TGT。一般情况下 TGS会检查 TGT中的时间戳查看 TGT是否过期，且原始地址是否和 TGT 中保存的地址相同。验证成功之后将用 sessionkey-as加密的 sessionkey-tgs 和 Server 密码HASH加密的 Sessionkey-tgs发送给Client。

TheClient/Server Authentication Exchange

Client收到sessionkey-as加密的 sessionkey-tgs和 Server密码 HASH 加密的 sessionkey-tgs之后用 sessionkey-as解密得到sessionkey-tgs，然后把 sessionkey-tgs 加密的 TimeStamp 和 ST一起发送给Server。
server 通过自己的密码解密ST，得到 sessionkey-tgs, 再用 sessionkey-tgs解密Authenticator3 得到 TimeStamp，验证正确返回验证成功。

PAC

在 Kerberos 最初设计的几个流程里说明了如何证明 Client是 Client而不是由其他人来冒充的，但并没有声明Client有没有访问Server服务的权限，因为在域中不同权限的用户能够访问的资源是有区别的。

所以微软为了解决这个问题在实现 Kerberos时加入了 PAC的概念，PAC 的全称是 Privilege Attribute Certificate(特权属性证书)。可以理解为火车有一等座，也有二等座，而PAC 就是为了区别不同权限的一种方式。

PAC 的实现

当用户与 KDC之间完成了认证过程之后，Client需要访问Server所提供的某项服务时，Server为了判断用户是否具有合法的权限需要将Client的 User SID等信息传递给KDC，KDC通过 SID判断用户的用户组信息，用户权限等，进而将结果返回给 Server，Server 再将此信息与用户所索取的资源的ACL进行比较，最后决定是否给用户提供相应的服务。

PAC 会在KRB_AS_REP 中 AS放在 TGT 里加密发送给 Client，然后由 Client转发给 TGS来验证 Client所请求的服务。

在PAC中包含有两个数字签名 PAC_SERVER_CHECKSUM 和 PAC_PRIVSVR_CHECKSUM，这两个数字签名分别由Server端密码 HASH和 KDC的密码 HASH加密。

同时 TGS解密之后验证签名是否正确，然后再重新构造新的 PAC 放在ST 里返回给客户端，客户端将ST发送给服务端进行验证。

Server 与 KDC

PAC可以理解为一串校验信息，为了防止被伪造和串改，原则上是存放在 TGT 里，并且TGT 由KDC hash 加密。同时尾部会有两个数字签名，分别由 KDC 密码和 server 密码加密，防止数字签名内容被篡改。

同时PAC 指定了固定的User SID 和 Groups ID，还有其他一些时间等信息，Server的程序收到 ST之后解密得到PAC 会将PAC的数字签名发送给 KDC，KDC再进行校验然后将结果已RPC返回码的形式返回给 Server。
同时 PAC指定了固定的 User SID 和 Groups ID，还有其他一些时间等信息，Server的程序收到 ST之后解密得到PAC 会将PAC 的数字签名发送给 KDC，KDC再进行校验然后将结果已RPC 返回码的形式返回给 Server。

Golden Ticket(黄金票据)

TGT是由KRBTGT用户生成的，有了该票据你可以访问任何通过kerberos认证的服务，如果我们拿到了该用户的Hash，那么我们就可以伪造TGT,该用户只存在于域控中，所以前提是你要拿到域控的权限，有了域控权限干啥不行…

Silver Ticket(白银票据)

如果我们有服务器上的用户Hash,就可以伪造一个Server-Ticket绕过认证，达到访问服务的目的。白银票据只能访问特定的服务。

MS14-068

MS14-068是密钥分发中心（KDC）服务中的Windows漏洞。它允许经过身份验证的用户在其Kerberos票据（TGT）中插入任意PAC（表示所有用户权限的结构）。该漏洞位于kdcsvc.dll域控的KDC中。用户可以通过呈现具有改变的PAC的Kerberos TGT来获得票据。
一句话，可以在拥有一个普通域用户的情况下可以提升为域管理权限。

原文链接：

https://www.freebuf.com/articles/system/196434.html
https://mp.weixin.qq.com/s?__biz=Mzg3NzE5OTA5NQ==&mid=2247483807&idx=1&sn=59be50aa5cc735f055db596269a857ce&chksm=cf27ea07f850631

Kerberos协议认证相关推荐

windows认证之域认证：Kerberos协议认证
目录 1.域的基本概念 1.1域的介绍 1.2 域和组的区别 1.3 域名服务器 2.Kerberos协议简介 3.Kerberos认证的简单流程 3.1客户端和AS进行通信 3.2 客户端和TGS ...
Kerberos协议认证介绍超详细
转载:https://blog.csdn.net/wulantian/article/details/42418231 内容太多,可直接看总结前几天在给人解释Windows是如何通过Kerberos ...
三步轻松理解Kerberos协议
Kerberos是一种身份验证协议,它作为一种可信任的第三方认证服务,通过使用对称加密技术为客户端/服务器应用程序提供强身份验证.在域环境下,AD域使用Kerberos协议进行验证,熟悉和掌握Kerb ...
Windows认证机制之Kerberos协议
Windows认证机制首先,我们简短介绍下Windows的认证机制.主要有以下三种, 本地认证网络认证域内认证如图所示: Kerberos协议 Kerberos 是一种由 MIT(麻省理工大学 ...
windows认证原理kerberos协议详解
这里写目录标题什么是kerberos协议 kerberos协议简略流程以及详细流程 kerberos协议局限性什么是kerberos协议 kerberos是一种网络认证协议,通过密钥系统为客户端以 ...
Kerberos协议
Kerberos协议 Kerberos由MIT于1988年开发,用于分布式环境中的应用层协议,这是一个身份认证协议.其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务.Kerberos ...
ASP.NET : Kerberos网络认证过程
今天抽时间初略学习了一下kerberos网络认证过程,作为笔记整理如下,希望与大家分享. 一.Kerberos初步定义: Kerberos这一名词来源于希腊神话"三个头的狗--地狱之门守护者 ...
kerberos安全认证
1.kerberos安全认证原理: 客户端跟服务端可以对对方进行身份认证,防止窃听,防止replay攻击.保护数据完成性,是一种应用对称密钥体制进行密钥管理的系统. 2.基本概念 Principal( ...
Kerberos协议简介
1.Kerberos协议 Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granti ...

Kerberos协议认证

域环境