taibeihacker
Moderator
GSSAPI滥用是作为我的Def Con 31演讲的一部分发布的。可以在此处找到有关滥用向量的完整文章:违反的结婚:虐待混合供应商Kerberos堆栈
该工具具有两个功能。首先是能够列举连接到Active Directory的非Windows主机的能力,该目录可通过SSH提供GSSAPI身份验证。
第二个功能是能够为没有正确的前向和/或反向查找DNS条目的GSSAPI滥用主机执行动态DNS更新。基于GSSAPI的身份验证在匹配服务主体方面是严格的,因此DNS条目应匹配主机名和IP地址的服务主名称。
010-1011
PIP INSTALS -R EUSTRUCT.TXT
一旦获得了非Windows计算机的列表,GSSAPI-abuse将尝试通过SSH连接到每个主机,并确定是否允许基于GSSAPI的身份验证。
[=]在AD中找到了2台注册的非Windows机器
[!]主持人ubuntu.ad.ginge.com没有启用SSH的GSSAPI,忽略
[+]主机centos.ad.ginge.com在SSH
010-1011
python。\ gssapi -abuse.py -d ad.ginge.com dns -t ahost -a add -type a -data -data 192.168.128.50
[+]成功身份验证到DNS服务器win-af8ki8e5414.ad.ginge.com
[=]使用数据192.168.128.50添加目标ahost的记录
[+]应用1个更新成功添加了主机ahost.ad.ginge.com的反向PTR记录。请注意,数据参数被a。终止,这很重要,或者记录成为我们不想要的区域的相对记录。我们还需要指定要更新的目标区域,因为PTR记录存储在不同的区域中。
python。\ gssapi -abuse.py -d ad.ginge.com dns -zone 128.168.192.in-addr.arpa -t 50 -a添加-type ptr -data ahost.ad.ad.ginge.com。
[+]成功身份验证到DNS服务器win-af8ki8e5414.ad.ginge.com
[=]使用data ahost.ad.ginge.com添加目标50的PTR记录。
[+]执行后,已成功转发和反向DNS查找结果,应用了1个更新
nslookup ahost.ad.ginge.com
server: win-af8ki8e5414.ad.ginge.com
地址: 192.168.128.1
name: ahost.ad.ginge.com
地址: 192.168.128.50 NSLOOKUP 192.168.128.50
server: win-af8ki8e5414.ad.ginge.com
地址: 192.168.128.1
name: ahost.ad.ginge.com
地址: 192.168.128.50
该工具具有两个功能。首先是能够列举连接到Active Directory的非Windows主机的能力,该目录可通过SSH提供GSSAPI身份验证。
第二个功能是能够为没有正确的前向和/或反向查找DNS条目的GSSAPI滥用主机执行动态DNS更新。基于GSSAPI的身份验证在匹配服务主体方面是严格的,因此DNS条目应匹配主机名和IP地址的服务主名称。
Prerequisites
GSSAPI-BUBUSE需要一个工作的KRB5堆栈以及正确配置的KRB5.Conf。Windows
在Windows主机上,MIT Kerberos软件还应安装在需求中列出的Python模块之外。可以在C: \ ProgramData \ Mit \ Kerberos5 \ krb5.conf找到Windows Krb5.conf010-1011
Linux
满足要求后,您可以通过PIP/PIP3工具安装Python依赖项PIP INSTALS -R EUSTRUCT.TXT
All
枚举模式将连接到Active Directory,并对所有在操作系统属性中没有Windows的计算机进行LDAP搜索。一旦获得了非Windows计算机的列表,GSSAPI-abuse将尝试通过SSH连接到每个主机,并确定是否允许基于GSSAPI的身份验证。
Enumeration Mode
python。\ gssapi -abuse.py -d ad.ginge.com[=]在AD中找到了2台注册的非Windows机器
[!]主持人ubuntu.ad.ginge.com没有启用SSH的GSSAPI,忽略
[+]主机centos.ad.ginge.com在SSH
Example
启用了GSSAPI DNS模式使用Kerberos和DNSpython使用DNS-TSIG协议对端口53进行身份验证的DNS更新。当前,DNS模式依赖于有效的TGT或DNS服务票证的工作KRB5配置,以特定的域控制器,例如DNS/DC1.Victim.Local。010-1011
python。\ gssapi -abuse.py -d ad.ginge.com dns -t ahost -a add -type a -data -data 192.168.128.50
[+]成功身份验证到DNS服务器win-af8ki8e5414.ad.ginge.com
[=]使用数据192.168.128.50添加目标ahost的记录
[+]应用1个更新成功添加了主机ahost.ad.ginge.com的反向PTR记录。请注意,数据参数被a。终止,这很重要,或者记录成为我们不想要的区域的相对记录。我们还需要指定要更新的目标区域,因为PTR记录存储在不同的区域中。
python。\ gssapi -abuse.py -d ad.ginge.com dns -zone 128.168.192.in-addr.arpa -t 50 -a添加-type ptr -data ahost.ad.ad.ginge.com。
[+]成功身份验证到DNS服务器win-af8ki8e5414.ad.ginge.com
[=]使用data ahost.ad.ginge.com添加目标50的PTR记录。
[+]执行后,已成功转发和反向DNS查找结果,应用了1个更新
nslookup ahost.ad.ginge.com
server: win-af8ki8e5414.ad.ginge.com
地址: 192.168.128.1
name: ahost.ad.ginge.com
地址: 192.168.128.50 NSLOOKUP 192.168.128.50
server: win-af8ki8e5414.ad.ginge.com
地址: 192.168.128.1
name: ahost.ad.ginge.com
地址: 192.168.128.50