MBCDN

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: rtmp winlogbeat dkim checkmk chmod gpg opensearch
kerberos

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung 		Vorhergehende Überarbeitung
kerberos [2025/03/27 00:58]
jango [CLI] 		kerberos [2025/04/06 11:07] (aktuell)
jango [Links]
Zeile 32: Zeile 32:
 {{kerberos-diagram.png}} {{kerberos-diagram.png}}
  
 +
 +=====Authentication Ticket (Ticket Granting Ticket)=====
 +
 +Ein Ticket Granting Ticket (TGT) ist ein spezielles Kerberos-Ticket, das als Zugangsschlüssel für weitere Kerberos-Tickets dient. Sozusagen das Haupt-Ticket. Wenn du dich bei einem Kerberos-geschützten System anmeldest (z. B. Windows-Domäne mit Active Directory), sendet dein Computer deine Login-Daten (verschlüsselt) an den Key Distribution Center (KDC). Der KDC überprüft die Identität und stellt dir ein TGT aus.
 +
 +=====Service Tickets=====
 +
 +Das TGT erlaubt es deinem Computer, ohne erneute Passwort-Eingabe weitere Service-Tickets für verschiedene Dienste anzufordern. Diese Anfragen laufen über den Ticket Granting Service (TGS), der ebenfalls auf dem KDC läuft.
 +
 +Wenn du z. B. auf eine Datei-Freigabe (\\server\freigabe) zugreifen möchtest, sendet dein Computer dein TGT an den TGS. Der TGS stellt daraufhin ein Service-Ticket für den Datei-Server aus. Dein Computer sendet das Service-Ticket an den Datei-Server, der es überprüft und dir dann Zugriff gewährt.
 =====Problem===== =====Problem=====
  
Zeile 65: Zeile 75:
  
 # Zeige Ticket Verwendung # Zeige Ticket Verwendung
-klist sessions+C:\> klist sessions 
 +[0] Sitzung 1 0:0x26d192ee D2000\admin_zarat Kerberos:CachedInteractive 
 +[1] Sitzung 0 0:0x136c4 \ NTLM:(0) 
 + 
 +C:\> klist sessions -li 0x136c4 
 +Aktuelle Anmelde-ID ist 0:0x26d192ee 
 +Ziel-Anmelde-ID ist 0:0x136c4 
 +Sitzung 0 0:0x136c4 \ NTLM:(0)
 </code> </code>
 +
 +=====Sicherheit=====
 +
 +====Krbtgt====
 +
 +In jeder [[Active Directory]] Domäne gibt es ein spezielles, verstecktes Benutzerkonto namens krbtgt. Dieses Konto hat kein Login, aber es besitzt ein Passwort (genau wie jedes andere Konto). Aus diesem Passwort wird ein geheimer Schlüssel erzeugt: der KRBTGT-Key. Dieser Schlüssel wird von den Domänencontrollern verwendet, um:
 +
 +  * Ticket Granting Tickets (TGTs) zu signieren.
 +  * Die Gültigkeit eingehender TGTs zu prüfen.
 +
 +Ohne diesen Key funktioniert Kerberos in der Domäne nicht mehr.
 +
 +====Angriffsmöglichkeiten====
 +
 +  * Pass-the-Ticket (PtT): Angreifer stiehlt ein gültiges Ticket Granting Ticket (TGT) oder Service Ticket (TGS) aus dem Speicher. Das Ticket kann auf einem anderen System wiederverwendet werden (z. B. mit Mimikatz oder Rubeus), solange es gültig ist.
 +  * Overpass-the-Hash (Pass-the-Key): Angreifer hat NTLM-Hash → erstellt daraus ein Kerberos-TGT (z. B. mit Mimikatz). Funktioniert also auch "rückwärts", wenn man an den Hash kommt.
 +  * Ticket Forging (Golden Ticket / Silver Ticket): Wenn Angreifer den KRBTGT-Key eines DC bekommt, kann er beliebige TGTs (Golden Ticket) oder TGS (Silver Ticket) ausstellen.
 +
  
 =====Links===== =====Links=====
kerberos.1743033529.txt.gz · Zuletzt geändert: 2025/03/27 00:58 von jango

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-NoDerivatives 4.0 International
CC Attribution-NoDerivatives 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki