[[349739]]

本文轉載自微信公眾號「Bypass」，作者Bypass。轉載本文請聯系Bypass公眾號。

 Kerberos是一種身份驗證協議，它作為一種可信任的第三方認證服務，通過使用對稱加密技術為客戶端/服務器應用程序提供強身份驗證。在域環境下，AD域使用Kerberos協議進行驗證，熟悉和掌握Kerberos協議是學習域滲透的基礎。

Kerberos協議中主要的三個角色：

1.訪問服務的Client 
2.提供服務的Server 
3.KDC：密鑰分發中心，默認安裝在域控上 
    AS：身份驗證服務 
    TGS：票證授予服務 

Kerberos協議認證過程：

協議可以分為三個步驟：一是獲得票據許可票據，二是獲取服務許可票據，三是獲得服務。

第一步：獲得票據許可票據

KRB_AS_REQ：用于向KDC請求TGT

當用戶在客戶端輸入域用戶和密碼時，客戶端將用戶密碼轉換為hash作為加密密鑰，對時間戳進行加密作為請求憑據。

cipher：加密的時間戳，即客戶端的當前時間與用戶的hash加密后的結果

KRB_AS_REQ 數據包如下：

KRB_AS_REP：用于通過KDC傳遞TGT

收到請求后，KDC從AD域數據庫中找到對用用戶的hash解密時間戳來驗證用戶身份。如果時間戳在允許的時間范圍內，那么它就會生成一個會話密鑰(Session key)，以AS_REP 數據包進行響應。

AS_REP 包含信息：

ticket：使用krbtgt hash加密，包含用戶名/會話密鑰和到期時間等信息. 
enc-part：使用用戶hash加密，包含會話密鑰/TGT到期時間和隨機數（防重放） 

KRB_AS_REP數據包如下：

第二步：獲得服務許可票據

KRB_TGS_REQ：使用TGT向KDC請求TGS

客戶端獲得TGT和用戶密鑰加密的enc-part，使用用戶hash解密enc-part獲得會話密鑰(Session key)，然后使用會話密鑰將用戶名/時間戳進行加密，生成authenticator和TGT發送給TGS。

ticket：實質上就是一張TGT，客戶端沒有 krbtgt hash，故無法解密TGT. 

KRB_TGS_REQ 數據包如下：

KRB_TGS_REP：通過KDC傳遞TGS

TGS 收到KRB_TGS_REQ請求后，使用 krbtgt hash解密ticket 獲取會話密鑰(Session key)，然后使用會話密鑰解密 authenticator 獲取用戶名和時間戳進行身份驗證。確認信息后，創建一個服務會話密鑰(Service Session key)。

ticket：使用對應的服務密鑰進行加密，包含服務會話密鑰/用戶名/到期時間等信息，本質上就是一張ST(Service Ticket)。enc-part：包含使用會話密鑰加密的服務會話密鑰(Service Session key)

ticket：使用對應的服務密鑰進行加密，包含服務會話密鑰/用戶名/到期時間等信息，本質上就是一張ST（Service Ticket）。 
enc-part：包含使用會話密鑰加密的服務會話密鑰（Service Session key） 

KRB_TGS_REP數據包如下：

第三步：獲得服務

KRB_AP_REQ：使用TGS，服務對用戶身份驗證

客戶端已經擁有了有效的TGS可以與服務進行交互，使用會話密鑰解密 enc-part，得到 服務會話密鑰(Service Session key)，將用戶名/時間戳等信息使用服務會話密鑰(Service Session key)進行加密，得到新的Authentication。

KRB_AP_REP：由服務用來針對用戶標識自身

服務端接收到請求，使用自己的hash解密TGS獲得服務會話密鑰(Service Session key)和授權用戶信息，然后使用服務會話密鑰解密Authentication，比對用戶名和時間戳等信息，如果有相互驗證標記，服務端使用服務會話密鑰加密時間戳發給客戶端，客戶端解密時間戳驗證服務端，然后開始請求服務。