Kerberoasting攻击检测

全都怪我 / 2022-04-27

首先,我们来整体了解一下实际用户请求访问域内某个服务时会经过哪些步骤:

1用户将AS-REQ数据包发送给KDCKey Distribution Centre密钥分发中心此处为域控),进行身份认证
2KDC验证用户的凭据如果凭据有效则返回TGTTicket-Granting Ticket票据授予票据)。
3如果用户想通过身份认证访问某个服务如CIFS),那么他需要发起Ticket Granting Service票据授予服务请求请求中包含TGT以及所请求服务的SPNService Principal Name服务主体名称)。
4如果TGT有效并且没有过期TGS会创建用于目标服务的一个服务票据服务票据使用服务账户的凭据进行加密
5用户收到包含加密服务票据的TGS响应数据包
6最后服务票据会转发给目标服务然后使用服务账户的凭据进行解密

全都怪我

这个人很懒,没有留下任何介绍

twitter weibo github wechat

随机分类

神器分享 文章:71 篇
Ruby安全 文章:2 篇
Web安全 文章:248 篇
硬件与物联网 文章:40 篇
漏洞分析 文章:212 篇

最新评论

你又不是她

感谢大佬分享1294571772@qq.com,同时是否能够分享下木马免杀学习路

gxh191

zgr!!!yyds

wh0Nsq

好激动

L

leveryd

S

StampWang

感谢大佬分享867724113@qq.com