复现kerberos认证过程、黄金票据

2024-04-04 10:20

本文主要是介绍复现kerberos认证过程、黄金票据,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

了解Kerberos协议

第一步:客户端向DC的AS请求

第二步:DC的AS想客户端的全球做出响应

第三步:客户端向DC的TGS 请求

第四步:DC的TGS向客户端的请求做出响应

第五步:客户端向服务器请求

第六步:服务器向DC的KDC的请求

第七步:DC的KDC向服务端响应

第八步:服务端向客户端响应

了解Kerberos协议

在Kerberos协议中,主要有以下三个角色:

  • 访问服务的客户端(cilent简写c):Kerberos客户端是代表需要访问资源的用户进行操作的用程序,例如打开文件、查询数据库或打印文档。每个Kerberos客户端在访问资源之前都会请求身份验证。

  • 提供服务的服务端(server简写s):域内提供服务的服务端,服务端都有一个独一的SPN。

  • ‍提供认证服务的KDC(Key Distribution Center,密钥分发中心):KDC密钥发行中心是一种网络服务,它向活动目录域内的用户和计算机提供会话票据和临时会话密钥,其服务帐户为krbtgt。KDC作为活动目录域服务ADDS的一部分运行在每个域控制器上。 这里说一下krbtgt帐户,该用户是在创建活动目录时系统自动创建的一个账号,其作用是KDC密钥发行中心的服务账号,其密码是系统随机生成的,无法正常登陆主机。以下是Kerberos认证整个流程图:

第一步:客户端向DC的AS请求

此时客户端本机的Kerberos服务会向KDC的AS认证服务发送AS-REQ认证请求,请求内容包括

客户端的个人信息即principal如用户名,以及说明要请求什么服务、目标服务的主机名等信息,

告诉AS自己将与TGS通信。除此之外为了防止别人伪造这个客户端的身份,还要求发送一个认

因子authenticator,这个认证因子需要使用客户端的hash来加密一个时间戳。

第二步:DC的AS想客户端的全球做出响应

此时AS收到了客户端的请求之后,由于AS是在DC上面的,DC是有客户端的hash的,此时会查

AD目录找到该客户端的hash,然后对时间戳进行解密,如果解密失败说明用于加密的hash是错

的,同时验证是否为受到了重放攻击。

在AS验证通过之后,AS会生成一个login session key,并且使用用户的hash加密这个login

session key,然后AS还会生成一个TGT,同使用过hash加密后的login session key以及一些其

相关信息打包发送给客户端。

第三步:客户端向DC的TGS 请求

此时客户端收到了DC的的响应包之后会将收到的TGT存储在本地,并使用自己的hash将对应使、

自己的hash加密的信息进行解密,获取到AS生成的login session key,然后客户端使用login

session key去加密时间戳然后与收到的TGT、需要的服务名字、自己的相关信息一同打包发送

DC的TGS。

关于krbtgt

krbtgt是Kerberos中的一个特殊账户,用于存储和管理Ticket Granting Ticket(TGT)。

Kerberos认证系统中,krbtgt账户是一个系统级别的账户,用于生成TGT和使用自己的has

(krbtgt hash)加密TGT,并提供给用户进行身份验证和获取服务票据。那么如果攻击者获取到

这个hash(krbtgt hash),那么就可以任意的伪造TGT了,也就是黄金票据,拥有了黄金票据就

以跳过AS验证了。

第四步:DC的TGS向客户端的请求做出响应

当TGS接收到请求之后,会检查自身是否存在客户端请求的服务,如果存在就会拿ktbtgt hash解

TGT(由于TGS是在DC上的,所有具有krbtgt的hash),解密到的信息中包含了login session

key,别忘了客户端发过来的时间戳就是利用login session key加密的,此时就可以用其解密获

到时间戳了,然后验证时间戳。

然后KDC会生成一个新的名叫service session key,用于客户端和服务端直接的安全通信,并且

客户端生成ST服务票据,该票据是由客户端信息+service session key打包后用后用服务端的has

加密的(KDC在DC上,故DC拥有服务端的hash)。除此之外会将service session key用之前

login session key加密同ST一同打包发送给客户端。

此时为什么要用服务端的hash加密service session key?

因为为了保证service session key不被窃取不可明文传输且后期客户端和服务端要使用service

session key进行安全通信,而服务端没有login session key,DC就使用服务端的hash进行加密

同时还可以防止非目标服务器窃取这个service session key,因为只有知道服务端的hash才能获

service session key,进一步保证了service session key的安全。如果攻击者窃取了服务端的has

那么就可以任意伪造ST也就是白银票据了,就可以不经过KDC了。

第五步:客户端向服务器请求

此时客户端接收到了TGS的响应,然后利用login session key解密获取到service session key,

后用于与服务端通信,同时将ST存储起来,然后客户端用service session key加密客户端信息和

间戳同ST(服务端hash加密的相关信息+service session key)打包一起发送给服务端验证。

第六步:服务器向DC的KDC的请求

客户端收到服务端发送过来的信息之后,用自己的hash即服务端hash解密ST,而ST中包括

service session key,那么再用service session key去解密使用service session key加密的信息包

有客户端相关信息和时间戳,再去验证这个时间戳,判断是否安全,判断是否为真实身份。

除此之外服务端还要向DC请求,使用PAC(Privilege Attribute Certificate)将客户端的属性信息

送给KDC进行验证客户端是否安全是否具有获取该服务的资格。

第七步:DC的KDC向服务端响应

此时KDC将会对服务端发来的PAC进行一个验证,验证流程如下

1.KDC首先会检查PAC中的票据(Ticket)是否有效,即检查票据的签名是否正确、是否过期等

这是基本的票据验证过程,确保票据本身是合法的。

2.KDC会从PAC中提取出客户端的属性信息,如授权信息、组成员资格等。

3.KDC会与自身存储的客户端属性信息进行比对,以验证PAC中的属性信息是否与KDC中存储的

息一致。这样可以确保客户端的属性信息没有被篡改或伪造。

4.如果PAC中的属性信息与KDC中存储的信息一致,KDC将认为PAC是有效的,并返回一个验证

功的响应给服务端。反之如果PAC中的属性信息与KDC中存储的信息不一致,KDC将认为PAC

无效的,并返回一个验证失败的响应给服务端。

第八步:服务端向客户端响应

此时服务端会生成一个票据,该票据包括客户端身份信息,以及服务端的身份信息,并使用之前

得的service session key去加密该票据信息并发送给客户端,然后客户端就可以正常获取到服务

的服务了。

这篇关于复现kerberos认证过程、黄金票据的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/875520

相关文章

springboot security使用jwt认证方式

《springbootsecurity使用jwt认证方式》:本文主要介绍springbootsecurity使用jwt认证方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地... 目录前言代码示例依赖定义mapper定义用户信息的实体beansecurity相关的类提供登录接口测试提供一

java中使用POI生成Excel并导出过程

《java中使用POI生成Excel并导出过程》:本文主要介绍java中使用POI生成Excel并导出过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录需求说明及实现方式需求完成通用代码版本1版本2结果展示type参数为atype参数为b总结注:本文章中代码均为

SpringCloud之LoadBalancer负载均衡服务调用过程

《SpringCloud之LoadBalancer负载均衡服务调用过程》:本文主要介绍SpringCloud之LoadBalancer负载均衡服务调用过程,具有很好的参考价值,希望对大家有所帮助,... 目录前言一、LoadBalancer是什么?二、使用步骤1、启动consul2、客户端加入依赖3、以服务

Oracle存储过程里操作BLOB的字节数据的办法

《Oracle存储过程里操作BLOB的字节数据的办法》该篇文章介绍了如何在Oracle存储过程中操作BLOB的字节数据,作者研究了如何获取BLOB的字节长度、如何使用DBMS_LOB包进行BLOB操作... 目录一、缘由二、办法2.1 基本操作2.2 DBMS_LOB包2.3 字节级操作与RAW数据类型2.

SpringSecurity 认证、注销、权限控制功能(注销、记住密码、自定义登入页)

《SpringSecurity认证、注销、权限控制功能(注销、记住密码、自定义登入页)》SpringSecurity是一个强大的Java框架,用于保护应用程序的安全性,它提供了一套全面的安全解决方案... 目录简介认识Spring Security“认证”(Authentication)“授权” (Auth

C#原型模式之如何通过克隆对象来优化创建过程

《C#原型模式之如何通过克隆对象来优化创建过程》原型模式是一种创建型设计模式,通过克隆现有对象来创建新对象,避免重复的创建成本和复杂的初始化过程,它适用于对象创建过程复杂、需要大量相似对象或避免重复初... 目录什么是原型模式?原型模式的工作原理C#中如何实现原型模式?1. 定义原型接口2. 实现原型接口3

Spring Security注解方式权限控制过程

《SpringSecurity注解方式权限控制过程》:本文主要介绍SpringSecurity注解方式权限控制过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、摘要二、实现步骤2.1 在配置类中添加权限注解的支持2.2 创建Controller类2.3 Us

一文详解kafka开启kerberos认证的完整步骤

《一文详解kafka开启kerberos认证的完整步骤》这篇文章主要为大家详细介绍了kafka开启kerberos认证的完整步骤,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录一、kerberos安装部署二、准备机器三、Kerberos Server 安装1、配置krb5.con

Spring AI集成DeepSeek三步搞定Java智能应用的详细过程

《SpringAI集成DeepSeek三步搞定Java智能应用的详细过程》本文介绍了如何使用SpringAI集成DeepSeek,一个国内顶尖的多模态大模型,SpringAI提供了一套统一的接口,简... 目录DeepSeek 介绍Spring AI 是什么?Spring AI 的主要功能包括1、环境准备2

SpringBoot集成图片验证码框架easy-captcha的详细过程

《SpringBoot集成图片验证码框架easy-captcha的详细过程》本文介绍了如何将Easy-Captcha框架集成到SpringBoot项目中,实现图片验证码功能,Easy-Captcha是... 目录SpringBoot集成图片验证码框架easy-captcha一、引言二、依赖三、代码1. Ea