本文介绍了微软针对CVE-2021-42287的安全更新,该更新在PAC中添加了PAC_REQUESTOR属性以增强Kerberos权限校验。通过解析PAC结构,阐述了PAC的关键作用,以及在更新后的验证规则变化。同时,提到了更新后的兼容性和阶段部署计划,以及如何通过日志事件37和38检测黄金票据攻击。
黄金票据简介
黄金票据是一种常见的域内权限维持手段,这种攻击主要是利用了Kerberos认证过程中TGT票据由KRBTGT用户的hash加密的特性,在掌握KRBTGT用户密码之后可以通过签发一张高权限用户的TGT票据,再利用这个TGT向KDC获取域内服务的ST来实现对域的控制。那么这里的“高权限用户”是通过什么来判断的呢,答案就是PAC。
1.PAC的作用
PAC的结构如下图所示(MS-PAC)
整个结构详解可以参考daiker师傅的这篇文章,由于TGT是krbtgt用户的hash加密的,我们在wireshark抓包是看不到TGT的结构的,不过我们可以写了一个工具来解密TGT和PAC。
PAC解析后内容如下:
可以看到在没有更新之前PAC中一共由5种类型的INFO_BUFFER:
·KERB_VALIDATION_INFO(0x1)
·PAC_CLIENT_INFO(0x0A)
·UPN_DNS_INFO(0x0C)
·PAC_SERVER_CHECKSUM (0x06)
最低0.47元/天 解锁文章
扫一扫
456
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
