88tcp/udp - Pentesting Kerberos
Grundinformationen
Kerberos funktioniert nach einem Prinzip, bei dem es Benutzer authentifiziert, ohne direkt ihren Zugriff auf Ressourcen zu verwalten. Dies ist eine wichtige Unterscheidung, da sie die Rolle des Protokolls in Sicherheitsrahmenwerken unterstreicht.
In Umgebungen wie Active Directory ist Kerberos entscheidend für die Feststellung der Identität von Benutzern, indem ihre geheimen Passwörter validiert werden. Dieser Prozess stellt sicher, dass die Identität jedes Benutzers bestätigt wird, bevor er mit Netzwerkressourcen interagiert. Kerberos erweitert jedoch seine Funktionalität nicht, um die Berechtigungen eines Benutzers über spezifische Ressourcen oder Dienste zu bewerten oder durchzusetzen. Stattdessen bietet es eine sichere Möglichkeit zur Authentifizierung von Benutzern, was ein kritischer erster Schritt im Sicherheitsprozess ist.
Nach der Authentifizierung durch Kerberos wird der Entscheidungsprozess bezüglich des Zugriffs auf Ressourcen an einzelne Dienste im Netzwerk delegiert. Diese Dienste sind dann verantwortlich für die Bewertung der Rechte und Berechtigungen des authentifizierten Benutzers, basierend auf den Informationen, die Kerberos über die Privilegien des Benutzers bereitstellt. Dieses Design ermöglicht eine Trennung der Anliegen zwischen der Authentifizierung der Identität von Benutzern und der Verwaltung ihrer Zugriffsrechte, was einen flexibleren und sichereren Ansatz für das Ressourcenmanagement in verteilten Netzwerken ermöglicht.
Standardport: 88/tcp/udp
Um zu lernen, wie man Kerberos missbraucht, sollten Sie den Beitrag über Active Directory** lesen.**
Mehr
Shodan
port:88 kerberos
MS14-068
Der MS14-068-Fehler ermöglicht es einem Angreifer, das Kerberos-Login-Token eines legitimen Benutzers zu manipulieren, um fälschlicherweise erhöhte Berechtigungen zu beanspruchen, wie z.B. ein Domain-Admin zu sein. Diese gefälschte Behauptung wird fälschlicherweise vom Domain Controller validiert, was unbefugten Zugriff auf Netzwerkressourcen im gesamten Active Directory-Wald ermöglicht.
Weitere Exploits: https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS14-068/pykek
HackTricks Automatische Befehle
Last updated