所以,我一直在告诉自己 Kerberos 是如何工作的,以及可以发起/防御哪些攻击。我读到的一个漏洞是“Pass-the-ticket”攻击,例如,当域管理员在受感染的用户计算机上留下 Ticket Graning Ticket 时,可以转储/恢复(通过 mimikatz?)。我确实掌握了这个概念,我只是不明白为什么这种方法有效。现在我的问题是:域管理员的 TGT 对攻击者有什么好处?还是任何用户的 TGT?据我所理解,
TGT使用 TGS的密钥(攻击者没有)加密,您不能使用它来访问资源,只能从 TGS 请求服务票证
Service Ticket与验证消息一起返回给客户端,其中包含客户端与请求的服务成功通信所需的服务会话密钥
但是,此消息使用TGS 会话密钥加密,仅知道:
- AS-REP 步骤中的原始/合法客户,
- TGS(包含在 TGT 中(已加密))
这意味着,攻击者无法解密消息,因此无法获得服务会话密钥。如果没有此消息中包含的 Service Session Key,攻击者应该无法访问 Service 提供的资源,因此即使他可以找到 TGT,并通过该 TGT 获得 Service Ticket,他也应该无法访问任何内容因为他缺少服务用于加密数据的服务会话密钥。
我敢肯定我在这里有些困惑,但是很难研究这样一个特定问题的答案,所以如果这里有人可以就这个主题对我进行教育,我会很高兴:D
PS:为了术语清晰,我指的是这个解释 Kerberos 的 youtube 视频:https ://www.youtube.com/watch?v=5N242XcKAsM