前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >三步轻松理解Kerberos协议

三步轻松理解Kerberos协议

作者头像
Bypass
发布2020-11-04 15:15:12
8310
发布2020-11-04 15:15:12
举报
文章被收录于专栏:Bypass

Kerberos是一种身份验证协议,它作为一种可信任的第三方认证服务,通过使用对称加密技术为客户端/服务器应用程序提供强身份验证。在域环境下,AD域使用Kerberos协议进行验证,熟悉和掌握Kerberos协议是学习域渗透的基础。

Kerberos协议中主要的三个角色:

代码语言:javascript
复制
1.访问服务的Client
2.提供服务的Server
3.KDC:密钥分发中心,默认安装在域控上
    AS:身份验证服务
    TGS:票证授予服务

Kerberos协议认证过程:

协议可以分为三个步骤:一是获得票据许可票据,二是获取服务许可票据,三是获得服务。

第一步:获得票据许可票据

KRB_AS_REQ:用于向KDC请求TGT

当用户在客户端输入域用户和密码时,客户端将用户密码转换为hash作为加密密钥,对时间戳进行加密作为请求凭据。

代码语言:javascript
复制
cipher:加密的时间戳,即客户端的当前时间与用户的hash加密后的结果

KRB_AS_REQ 数据包如下:

KRB_AS_REP:用于通过KDC传递TGT

收到请求后,KDC从AD域数据库中找到对用用户的hash解密时间戳来验证用户身份。如果时间戳在允许的时间范围内,那么它就会生成一个会话密钥(Session key),以AS_REP 数据包进行响应。

AS_REP 包含信息:

代码语言:javascript
复制
ticket:使用krbtgt hash加密,包含用户名/会话密钥和到期时间等信息.
enc-part:使用用户hash加密,包含会话密钥/TGT到期时间和随机数(防重放)

KRB_AS_REP数据包如下:

第二步:获得服务许可票据

KRB_TGS_REQ:使用TGT向KDC请求TGS

客户端获得TGT和用户密钥加密的enc-part,使用用户hash解密enc-part获得会话密钥(Session key),然后使用会话密钥将用户名/时间戳进行加密,生成authenticator和TGT发送给TGS。

代码语言:javascript
复制
ticket:实质上就是一张TGT,客户端没有 krbtgt hash,故无法解密TGT.

KRB_TGS_REQ 数据包如下:

KRB_TGS_REP:通过KDC传递TGS

TGS 收到KRB_TGS_REQ请求后,使用 krbtgt hash解密ticket 获取会话密钥(Session key),然后使用会话密钥解密 authenticator 获取用户名和时间戳进行身份验证。确认信息后,创建一个服务会话密钥(Service Session key)。

代码语言:javascript
复制
ticket:使用对应的服务密钥进行加密,包含服务会话密钥/用户名/到期时间等信息,本质上就是一张ST(Service Ticket)。
enc-part:包含使用会话密钥加密的服务会话密钥(Service Session key)

KRB_TGS_REP数据包如下:

第三步:获得服务

KRB_AP_REQ:使用TGS,服务对用户身份验证

客户端已经拥有了有效的TGS可以与服务进行交互,使用会话密钥解密 enc-part,得到 服务会话密钥(Service Session key),将用户名/时间戳等信息使用服务会话密钥(Service Session key)进行加密,得到新的Authentication。

KRB_AP_REP:由服务用来针对用户标识自身

服务端接收到请求,使用自己的hash解密TGS获得服务会话密钥(Service Session key)和授权用户信息,然后使用服务会话密钥解密Authentication,比对用户名和时间戳等信息,如果有相互验证标记,服务端使用服务会话密钥加密时间戳发给客户端,客户端解密时间戳验证服务端,然后开始请求服务。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-11-02,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Bypass 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
多因子身份认证
多因子身份认证(Multi-factor Authentication Service,MFAS)的目的是建立一个多层次的防御体系,通过结合两种或三种认证因子(基于记忆的/基于持有物的/基于生物特征的认证因子)验证访问者的身份,使系统或资源更加安全。攻击者即使破解单一因子(如口令、人脸),应用的安全依然可以得到保障。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档