TGS 请求使用 TGS 会话密钥进行加密。 KRB_TGS_REP:从 KDC 接收 TGS KDC 尝试验证 TGT;如果成功,它会生成一个 TGS,其中包含有关请求者的信息,例如其 SID 和组成员身份,并使用服务的密码哈希进行加密。 TGS 和服务会话密钥使用 TGS 会话密钥加密并发回客户端。 KRB_AP_REQ:向应用程序服务器提供 TGS 进行授权...
Kerberoast攻击过程: 1.攻击者对一个域进行身份验证,然后从域控制器获得一个TGT认购权证 ,该TGT认购权证用于以后的ST服务票据请求 2.攻击者使用他们的 TGT认购权证 发出ST服务票据请求(TGS-REQ) 获取特定形式(name/host)的 servicePrincipalName (SPN)。例如:MSSqlSvc/SQL.domain.com。此SPN在域中应该是唯一的,...
它会使用 Session-key TGS 加密 Client-info、时间戳等信息作为一部分内容。ST 因为使用的是 Server NTLM-hash 进行的加密,无法解密,所以会原封不动发送给 Server。两部分一块发送给 Server,这个请求即是AP_REQ。 Server 收到AP_REQ请求后,用自身的 Server NTLM-Hash 解密了 ST,得到 Session-Key TGS,再解密出...
这里面标注的字段是跟ASREQ里面不一样的,在ASREQ文档有标注,一样的内容就不再标注了。 1. msg-type 类型,TGSREQ对应的就是KRBTGS_REQ(0x0c) 2. PA-DATA 正常的TGS_REQ的请求需要用到有 AP_REQ 这个是TGSREQ必须携带的部分,这部分会携带ASREP里面获取到的TGT票据,就放在这个结构体里面。 KDC校验TGT票据...
KDC 尝试验证 TGT;如果成功,它会生成一个 TGS,其中包含有关请求者的信息,例如其 SID 和组成员身份,并使用服务的密码哈希进行加密。 TGS 和服务会话密钥使用 TGS 会话密钥加密并发回客户端。 KRB_AP_REQ:向应用程序服务器提供 TGS 进行授权 客户端将从 KDC 收到的 TGS 以及使用服务会话密钥加密的身份验证器消息...
到了TGS_REQ & TGS_REP了其实用户已经拿到了TGT票据了,去向KDC申请特定服务的访问权限,KDC会校验TGT票据,如果校验通过的话,会向用户发送一个TGS票据,之后用户再拿着TGS去访问特定的服务。在这一阶段微软引入了两个用于委派的协议S4U2SELF和S4U2PROXY。 这一阶段把msg-type修改为KRB_TGS_REQ,然后勾选APREQ并且...
msg-type:消息类型,AS_REQ固定为krb-as-req,具体的类型和值如下表 Message Type Value Meaning KRB_AS_REQ 10 初始认证请求 KRB_AS_REP 11 响应 KRB_AS_REQ 请求 KRB_TGS_REQ 12 基于 TGT 的认证请求 KRB_TGS_REP 13 响应 KRB_TGS_REQ 请求 ...
TGS-REQ 将 KDC 提供的票据交换为另一票据。 AS-REQ 可以请求任何它想要的票证。实际上它只要求krbtgt. AS-REQ 旨在评估所使用的凭据、在备份目录中查找身份、应用任何策略以及 KDC 认为实际上是昂贵操作的任何其他操作。凭证验证/派生/等。可能是一项昂贵的操作。查询目录以获取组成员身份等信息(例如在 Active ...
黄金票据:就是在攻击者获得了 krbtgt 用户的 hash 值,跳过前两步的认证,直接伪造第三步(TGS-REQ)的信息。发送给 TGS 之后合规的签发 ST 去访问服务(可以访问域内任意服务) 白银票据:攻击者通过服务器的 server hash,伪造第五步(AP-REQ)的请求信息,发送给服务器,已获得访问服务的权限(可以访问某一特定服务)...
(一)、TGS-REQ请求包 客户端向KDC请求针对指定服务的ST服务票据请求,该请求主要包含如下的内容:客户端信息、Authenticator(Login Session Key加密的时间戳)、TGT认购权证(padata下ap-req下的ticket) 和 访问的服务名以及一些其他信息 。 pvno:kerberos版本号,这里为5msg-type:消息类型,TGS_REQ对应的是krb-tgs-req...