Kerberoasting的TGS机票

Question

在kerberoasting中，用户请求任何已注册SPN服务的服务票，然后使用该票证破解服务密码。但是在kerberoses认证过程中，KRB_TGS_REQ请求被KDC(票据授予服务器)持有的TGS密钥加密。

我希望到目前为止我是对的。

问题-攻击者如何将KRB_TGS_REQ请求发送到KDC(票证授予服务器)。

1-如果没有加密，为什么KDC(票证授予服务器)会因为未加密而返回服务票证

2-如果是的话，它是加密的，那么它是如何加密的，是用哪个密钥加密的。

3-他是否从一开始就执行整个kerberos身份验证过程，如果是，那么为什么他需要提取服务密码，因为当身份验证完成时，他将访问该服务。

Answer 1

在Kerberos中，任何人都可以从服务器请求票证授予票证(TGT)，如果用户存在，服务器将使用票证进行响应。请求是明文的，结果票据由两部分组成:会话密钥(使用用户密码的哈希加密)和TGT (使用会话密钥加密)。

如果用户的密码不安全，则攻击者可以强行强制密码，然后发现会话密钥，然后解密TGT。这可以脱机完成。

Kerberoasting攻击就是攻击者破坏一个普通用户帐户，然后使用该用户帐户请求服务票证的攻击。如果服务帐户也使用静态的、不安全的密码，那么就有可能离线攻击它们，并通过强制密码来破坏服务。因为服务通常可以访问其他服务，所以这是获得额外特权的好方法。这本质上是一种在妥协发生后获得额外访问的方法。

这种攻击主要发生在Active系统上，因为通常使用MIT Kerberos的系统具有静态的，但加密安全的密钥直接部署到服务机器上。因此，由于服务秘密包含足够的熵，所以在计算上是不可行的。通过确保所有服务主体使用具有足够熵的密码，您可以通过Active获得相同的好处。例如，足够的CSPRNG输出的十六进制编码的SHA-256散列将是一个好密码.因为它只被机器使用，而不是人类使用，所以记忆或打字并不是一个问题。

有一篇描述Kerberoasting攻击思想的文章，维基百科关于Kerberos的文章对协议进行了详细的描述。