详解Kerberos中的preauth参数

最新推荐文章于 2025-02-07 07:00:00 发布
最新推荐文章于 2025-02-07 07:00:00 发布
阅读量1.5k 收藏 12
点赞数 17
文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/whutmengmeng/article/details/142215648
版权

一 介绍

Kerberos preauth(Kerberos 预认证)是 Kerberos 协议的一个重要特性。简单来说,它是 Kerberos V5 版本对 V4 版本在安全方面的增强,可抵御针对 Kerberos 协议的 AS-REP Roasting 攻击。在使用 Kerberos 协议时,涉及到多种请求和响应,这些数据包在网络传输过程中可能被截获。为防止网络嗅探问题,Kerberos 不会明文传输用户密钥,而是采用特定算法对用户密钥的哈希值(附加一些时间戳和 salt 数据)进行加密传输,接收端用相同算法和密钥哈希解密后验证数据有效性。虽然没有明文传输密钥,但 AS-REQ 数据包可被截获进行重放攻击,AS-REP 数据包被截获后,若加密算法弱且用户密码简单,攻击者可基于此进行离线暴力破解获取用户原始密钥,这种攻击方式即 AS-REP Roasting。

KDC 开启某 principal 的 Pre-authentication 后,基于加密时间戳算法 PA-ENC-TIMESTAMP(目前使用最多的预认证算法),能有效防止基于 AS-REQ 的重放攻击和基于 AS-REP 的 AS-REP Roasting。客户端发送的 AS-REQ 数据中的 padata(预认证数据)部分包含使用特定算法和用户密钥加密的当前时间戳,KDC 收到后基于协商的特定算法和用户密钥(KDC 中存储)进行解密获得原始时间戳。若解密后的原始时间戳有效且与 KDC 当前时间戳差异不大(默认 5 分钟),则判定该 AS-REQ 不是重放攻击,可正常处理并返回 AS-REP 数据包;若原始时间戳无效或差异过大,则

最低0.47元/天 解锁文章
whutmengmeng
关注
hackthebox- Froest (考点:Kerberos pre-authentication/win-rm&5985/域渗透)
冬萍子癸水
04-17 3209
nullinux rpcclient -U "" -N 10.10.10.161 enumdomusers gem install evil-winrm 科普
linux kerberos认证,Kerberos 认证过程详解
weixin_36197581的博客
05-15 1875
kerboros认证过程如下:前提:client和server都在kdc上已注册.第一步 Authentication Service Exchange第二步 Ticket Granting Service Exchange第三步 Client/Server Exchange首先Client向kdc申请server服务,kdc查看server服务是受保护的服务,所以要验证client的身份,这就是...
Kerberos 身份验证
kuokay的博客
09-11 826
Kerberos 是一种由 MIT(麻省理工大学)提出的一种基于加密 Ticket 的身份认证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证,用于验证用户或主机的标识。。适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016在 Kerberos 协议中主要是有三个角色的存在:1、访问服务的 Client;2、提供服务的 Server;
三、预授权码(pre_auth_code)
X_The_chief的博客
02-26 1859
预授权码 授权码 预授权码(pre_auth_code)是第三方平台方实现授权托管的必备信息,每个预授权码有效期为 1800秒。需要先获取令牌才能调用。 请求地址 POST https://api.weixin.qq.com/cgi-bin/component/api_create_preauthcode?component_access_token=COMPONENT_ACCESS_TOKEN 请求参数说明 参数 类型 必填 说明 component_access_token strin
安全认证Kerberos详解
Shawn的个人博客
04-16 8242
Kerberos是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
kafka开启kerberos认证详细步骤
mandiandengwo的博客
12-30 1680
Kafka开启kerberos认证步骤及测试命令
AD 域渗透中的哈希种类与 Hashcat 破解模式详解
最新发布
vortex5的博客
02-07 1014
NTLM 哈希是 Windows 认证体系中最常见的密码存储方式。AD 中的账户(通常通过工具如提取)会以 NTLM 哈希形式存储密码。当账户未启用预身份验证(Pre-Authentication)时,攻击者可以请求 AS-REP 消息,并提取包含加密票据的数据。这种攻击手法称为。Kerberoasting 攻击针对的是 AD 中存在 SPN(Service Principal Name)的服务账户。
Knox(应用网关)
qq_31641743的博客
06-12 1976
Knox(应用网关) Apache Knox网关是一个为集群中的Apache Hadoop服务提供单点身份验证和访问的系统。 Knox网关为访问群集数据并执行作业以控制访问和管理群集的用户以及操作员简化了Hadoop安全性。网关作为服务器或服务器集群运行,提供对一个或多个Hadoop集群的集中访问。 在双网络环境中,必须在公共网络中部署Knox网关。如果LDAP服务器由Knox用于身份验证,则它将也安装在公共网络域中。网关应该可以使用主机名或IP地址访问群集中安装的服务。主节点位于双网络上,并且可以通
域渗透-kerberos协议 学习篇(1)
weixin_44747030的博客
04-17 1032
AS_REQ&AS_REP 0x00 前言 域渗透的本质就是协议,在最近的学习中发现自己对域渗透kerberos协议这块有点模糊了,所以又回头看了一下,这次顺便记录下来,加深印象。 我会把域渗透中常见关于kerberos协议利用的方法和自己的理解都写清楚。方便自己下次看,欢迎小伙伴一起学习。 这篇文章会先写kerberos的前2个阶段,也就是AS_REQ和AS_REP,会将自己的理解和这个阶段常见的攻击手法都写下来。 kerberos 认证流程 kerberos认证过程中会涉及到以下几个角色: 1、
Kerberos认证
星落的博客
08-10 4948
Kerberos 是一种网络认证协议,其流程主要分为三个部分,Authentication Service Exchange,Ticket Granting Service Exchange,Client/Server Exchange
Kerberos认证协议介绍
lonelymanontheway的博客
10-19 1722
概述、特性、原理、概念、步骤、Authentication Service Exchange、Ticket Granting Service Exchange、Client/Server Exchange、 总结、实战、安装
微信第三方平台开发经验总结(三):获取pre_auth_code
热门推荐
lwx0313的博客
08-15 1万+
获取pre_auth_code 该API用于获取预授权码。预授权码用于公众号或小程序授权时的第三方平台方安全验证。 接口调用请求说明 http请求方式: POST(请使用https协议) https://api.weixin.qq.com/cgi-bin/component/api_create_preauthcode?component_access_toke
java调试Kerberos,输出登陆信息
gx304419380的博客
05-08 4993
在代码中添加: System.setProperty(“sun.security.krb5.debug”, “true”);
关于Kerberos认证的一些攻击手法学习总结
渗透测试研究中心
05-09 1284
Kerberos认证流程前言本文主要分享最近学习的关于域内Kerberos认证的一些攻击手法,以自我的理解为主,从原理理解切入到基本工具利用来阐述,个人的理解分析较为啰嗦,嫌太兀长的可以跳着看就好,还请各位谅解。如有错误,请师傅们提出更正对于Kerberos认证流程只是简单的描述带过,下面有很多细节没有说明,比如PAC,S4U2SELF(委派),S4U2PROXY(委派)等。详细的解读推荐翻阅d...
域渗透 | kerberos认证及过程中产生的攻击
st3pby的博客
02-20 7370
Windows认证一般包括本地认证(NTLM HASH)和域认证(kerberos)。认证的原理网上有很多文章。如果喜欢听视频课程的话,这里推荐倾旋师傅的分享课本篇文章主要内容是Kerberos认证过程中产生的攻击。Kerberos是由麻省理工学院提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。Kerberos协议有两个基础认证模块:和,以及微软扩展的两个认证模块S4U和PAC。kerberos是一种基于票据的认证方式。
集群间配置kerberos互信
qq_36864672的博客
02-01 2419
本文档讲述通过配置tdh集群和tos集群某个租户两者间guardian互信,用户可以在两个集群登录操作hdfs,运用distcp工具将tdh集群中hdfs文件导入到tos租户hdfs。执行 hadoop fs -fs hdfs://192.168.100.104:8020 -ls / 和 hdfs dfs -ls / 是否都没问题。1.测试集群:以开发集群hdfs用户登录,然后分别访问开发集群和本地的hdfs。2.开发集群:以测试集群hd户登录,然后分别访问测试集群和本地的hdfs。
【原创】大数据基础之Kerberos(1)简介、安装、使用
weixin_30685047的博客
02-19 307
kerberos5-1.17 官方:https://kerberos.org/ 一 简介 The Kerberos protocol is designed to provide reliable authentication over open and insecure networks where communications between the hosts belongi...
微信开放平台【第三方平台】java开发总结:预授权码(pre_auth_code)(三)
u011627598的博客
12-23 3376
预授权码 预授权码(pre_auth_code)是第三方平台方实现授权托管的必备信息,每个预授权码有效期为 10 分钟。需要先获取令牌才能调用 请求地址: https://api.weixin.qq.com/cgi-bin/component/api_create_preauthcode?component_access_token=COMPONENT_ACCESS_TOKEN 请求方式: POS...
Kerberos 认证过程中超时的问题记录
weixin_40925318的博客
10-19 4494
Kerberos 认证过程中超时的问题记录com.sun.security.auth.module.Krb5LoginModule.attemptAuthentication(Krb5LoginModule.java:776参考的方法解决 在跑一个扫描hive表的任务的时候,经常2个多小时任务就失败了,报错如下: Caused by: javax.security.auth.login.LoginException: connect timed out at com.sun.security.auth.m
Kerberos认证机制详解
Kerberos是一种网络认证协议,源于希腊神话中的三头犬形象,象征着守护者的角色。它采用客户端/服务器架构,并利用DES(Data Encryption Standard)加密技术,实现了双向认证,确保客户端和服务器都能验证对方的身份...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值