Kerberos 认证

Tip

学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术:HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

查看这篇精彩文章: https://www.tarlogic.com/en/blog/how-kerberos-works/

攻击者速览

  • Kerberos 是默认的 AD 认证协议;大多数横向移动链路会涉及它。有关实操备忘(AS‑REP/Kerberoasting、ticket forging、delegation abuse 等),参见: 88tcp/udp - Pentesting Kerberos

最新攻击要点(2024‑2026)

  • RC4 finally going away – Windows Server 2025 的 DC 不再签发 RC4 TGTs;Microsoft 计划在 2026 年第二季度结束前将 RC4 作为 AD DC 的默认支持移除。为兼容遗留应用而重新启用 RC4 的环境会为 Kerberoasting 提供降级/快速破解的机会。
  • PAC validation enforcement (Apr 2025) – 2025 年 4 月的更新移除了“Compatibility”模式;当开启强制时,伪造的 PACs/golden tickets 在已打补丁的 DC 上会被拒绝。遗留/未打补丁的 DC 仍可被利用。
  • CVE‑2025‑26647 (altSecID CBA mapping) – 如果 DC 未打补丁或保持在 Audit 模式,通过 SKI/altSecID 映射到非‑NTAuth CA 的证书仍然可以登录。触发防护时会生成事件 45/21。
  • NTLM phase‑out – Microsoft 将在未来的 Windows 发布中默认禁用 NTLM(分阶段至 2026 年),将更多认证推向 Kerberos。在加固网络中,请预期 Kerberos 的攻击面扩大以及更严格的 EPA/CBT。
  • Cross‑domain RBCD remains powerful – Microsoft Learn 指出 resource‑based constrained delegation 可以跨域/林工作;资源对象上可写的 msDS-AllowedToActOnBehalfOfOtherIdentity 仍允许在不修改前端服务 ACL 的情况下进行 S4U2self→S4U2proxy 模拟。

快速工具

  • Rubeus kerberoast (AES default): Rubeus.exe kerberoast /user:svc_sql /aes /nowrap /outfile:tgs.txt — 输出 AES 哈希;可计划使用 GPU 破解或改为针对 pre‑auth 被禁用的用户。
  • RC4 downgrade target hunting: 使用 Get-ADObject -LDAPFilter '(msDS-SupportedEncryptionTypes=4)' -Properties msDS-SupportedEncryptionTypes 列举仍然声明支持 RC4 的账号,以在 RC4 完全禁用前定位脆弱的 kerberoast 候选者。

References

Tip

学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术:HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks