前言

要想进行内网渗透，可以说必须了解kerberos协议，可以说这是一个基础，本文总结了kerberos的认证流程以及可能出现的攻击方式。

Kerberos认证

kerberos认证是什么？

Kerberos 是一种由 MIT（麻省理工大学）提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。

Kerberos一词来源于希腊神话——一条凶猛的三头保卫神犬，用这个名字可能意味保护认证过程中的安全。

同时，Kerberos 是一种基于加密 Ticket 的身份认证协议。

kerberos的组成部分

Kerberos 主要由三个部分组成：Key Distribution Center (即KDC)、Client 和 Service。如下图所示：

下面来看看每个部分具体的作用是什么

KDC：密钥分发中心，负责存储用户信息，管理发放票据，是Kerberos的核心部分。KDC默认是安装在域控中的。

由上图中可以看到 KDC 又分为两个部分：

Authentication Server：AS 的作用就是验证 Client 端的身份（确定你是身份证上的本人），验证通过就会给一张 TGT（Ticket Granting Ticket）票给 Client。

Ticket Granting Server：TGS 的作用是通过 AS 发送给 Client 的票（TGT）换取访问 Server 端的票（上车的票 ST）。ST（ServiceTicket）也有资料称为 TGS Ticket，为了和 TGS 区分，在这里就用 ST 来说明。

KDC 服务框架中包含一个 KRBTGT 账户，它是在创建域时系统自动创建的一个账号，你可以暂时理解为他就是一个无法登陆的账号，在发放票据时会使用到它的密码 HASH 值。

client：想访问某个server的客户端，通常是域内主机。

server：提供某种业务的服务，如http，mysql等

域控内还存在AD，也就是活动目录，用于存储用户，用户组，域相关的信息。

kerberos的认证流程

从上图可以看出整个认证过程总共分成了6步，分为下面三个阶段。

• AS_REQ & AS_REP
• TGS_REQ & TGS_REP
• AP-REQ & AP-REP

下面来详细看看各个阶段所完成的工作：

AS_REQ

当域内的某个client想要访问某个服务时，输入用户名和密码，此时客户端本机的 Kerberos 服务会向 KDC 的 AS 认证服务发送一个AS_REQ认证请求

请求内容是：Client 的哈希值 NTLM-Hash 加密的时间戳以及 Client-info、Server-info 等数据，以及一些其他信息。

注意这里传递是用clinet的哈希值加密的内容，而不是传递了client的明文密码

AS_REP

AS收到请求后，AS 会先向活动目录 AD 请求，询问是否有此 Client 用户，如果有的话，就会取出它的 NTLM-Hash，并对AS_REQ请求中加密的时间戳进行解密，如果解密成功，则证明客户端提供的密