域渗透入门(四)Kerberoasting服务票据离线爆破密码
参考资料
- 域渗透——Kerberoasting
- 什么是kerberoasting
- https://blog.stealthbits.com/extracting-service-account-passwords-with-kerberoasting/
- https://blog.stealthbits.com/discovering-service-accounts-without-using-privileges/
录制的视频教程
- 域渗透实践篇(五)
- kerberoasting
spn“服务主体名称”是什么
服务帐户利用SPN支持Kerberos身份验证。也就是说,当客户端需要访问sever提供的服务的时候,那么就需要使用spn查询有哪些服务。
这种spn扫描,是正常的,在内网中,客户端想要访问服务器的资源,都需要想DC域控查询服务主体名称。就好像上火车要查询列车编号一样。
如何查询spn
1 |
|
方法一(mimikatz导出票据,tgsrepcrack.py破解票据):
1 |
|
方法二(mimikatz导出票据,kirbi2john.py将导出的1.kirbi转换为hashcat可以破解的格式,使用hashcat破解):
1 |
|
方法三——Invoke-Kerberoast导出票据,hashcat破解:
1 |
|
windows不允许执行powershell
运行powershell脚本时,遇到“无法加载文件,因为在此系统禁止执行脚本”
在powershell面板下输入,Set-ExecutionPolicy Unrestricted
,再输入“Y”,即可运行ps脚本
cmd关闭防火墙
NetSh Advfirewall
set
allprofiles state off
Netsh Advfirewall show allprofiles
netsh firewall set opmode mode=disable
遇到的问题
爆破服务票据密码的时候,py脚本提示
ImportError: No module named pyasn1.type
安装一下模块, pip install pyasn1
运行这条命令的时候python tgsrepcrack.py test.txt 1.kirbi
提示:
1 |
|
原因,作者将脚本从py2升级py3,脚本有bug无法正常执行。