AS-REP 烘焙

对手可能会通过 密码破解 Kerberos 消息揭示已禁用 Kerberos 预身份验证的帐户的凭据。(引用: Harmj0y Roasting AS-REPs Jan 2017) 预身份验证提供了针对离线 密码破解 的保护。启用时，请求访问资源的用户通过发送带有时间戳的身份验证服务器请求 (AS-REQ) 消息来启动与域控制器 (DC) 的通信，该时间戳使用其密码的哈希值加密。仅当 DC 能够成功使用用户密码的哈希值解密时间戳时，它才会向用户发送包含票证授予票证 (TGT) 的身份验证服务器响应 (AS-REP) 消息。AS-REP 消息的一部分使用用户的密码签名。(引用: Microsoft Kerberos Preauth 2014) 对于每个未启用预身份验证的帐户，对手可能会发送不带加密时间戳的 AS-REQ 消息，并接收包含 TGT 数据的 AS-REP 消息，该数据可能使用不安全的算法（例如 RC4）加密。恢复的加密数据可能容易受到离线 密码破解 攻击，类似于 Kerberoasting 并暴露明文凭据。(引用: Harmj0y Roasting AS-REPs Jan 2017)(引用: Stealthbits Cracking AS-REP Roasting Jun 2019) 可以使用 Windows 工具（例如 PowerShell）和 LDAP 过滤器滥用注册到域的帐户（无论是否具有特殊权限）列出所有已禁用预身份验证的域帐户。或者，对手可能会为每个用户发送 AS-REQ 消息。如果 DC 响应没有错误，则该帐户不需要预身份验证，并且 AS-REP 消息将已经包含加密数据。(引用: Harmj0y Roasting AS-REPs Jan 2017)(引用: Stealthbits Cracking AS-REP Roasting Jun 2019) 破解的哈希值可能会通过访问 有效帐户 启用 持久性、权限提升 和 横向移动。(引用: SANS Attacking Kerberos Nov 2014)