KrbRelayUp 工具簡介

工具的核心功能

1. S4U2Self 和 S4U2Proxy 攻擊：
• 使用 S4U2Self 和 S4U2Proxy 功能，通過 Kerberos 票證請求和中繼，冒充特定用戶（例如域管理員）執行高權限操作。

2. NTLM 中繼攻擊：
• 如果目標系統允許 NTLM 中繼，攻擊者可以利用此功能將普通用戶的身份轉發到高級服務（例如 LDAP 或 HTTP），進一步執行權限提升。

3. 服務錯誤配置：
• 利用服務的錯誤配置（例如允許未授權的 Relay 操作），實現本地或遠程提權。

4. 結合 ADCS 的利用：
• 如果目標環境啟用了 Active Directory Certificate Services (ADCS)，並且配置不當（如允許 NTLM 中繼到 ADCS），可用於請求域控制器證書，最終提升到域管理員權限。

5. 從域用戶到本地 SYSTEM 提權：
• 在本地系統執行 Kerberos 中繼攻擊，最終提權到 SYSTEM。

攻击流程

1. 建立 NTLM Relay 環境：
• 工具會啟動一個中繼服務，攔截目標的 NTLM 認證請求。

2. 利用 Kerberos 的 S4U 功能：
• 使用 S4U2Self 和 S4U2Proxy，偽造特定用戶的 Kerberos 票證（TGS）。
• 通過中繼將票證轉發到高權限服務（如 LDAP 或 ADCS）。

3. 執行權限提升：
• 利用 LDAP 或 ADCS 的高權限執行敏感操作（如創建高權限帳戶或獲取域控制器證書）。

4. 最終提權：
• 在本地，使用生成的證書或票證提升到 SYSTEM 權限。
• 在域內，使用域控制器證書提升到域管理員權限。

使用方法

1. 環境要求

• 必須在目標域內執行攻擊。

• 需要一個普通域用戶帳戶（無需高權限）。

• 目標系統需允許 NTLM 或存在 ADCS 錯誤配置。

2. 工具運行

• adcs：啟用針對 ADCS 的攻擊模式。

• target：指定目標主機名或 IP 地址。

3. 攻擊成功後

• 工具執行成功後，可能會返回以下結果：
• 本地提權：將普通用戶提權到 SYSTEM。
• 遠程提權：獲得域內高權限（如域管理員）。
• 執行特定操作：例如添加高權限帳戶、提取憑據等。

常見輸出解釋

1. 成功提權到 SYSTEM：
解釋：
• 工具已通過中繼攻擊成功將當前用戶權限提升到 SYSTEM，攻擊完成。

2. 成功請求證書：
解釋：
• 使用 NTLM 中繼或 Kerberos 攻擊成功從 ADCS 獲得高權限證書，可以進一步用於域內移動或提權。

3. 目標系統不支持中繼：
解釋：
• 目標系統已正確配置安全策略，禁用了 NTLM 中繼攻擊。

修復建議

1. 禁用 NTLM 中繼

• 配置域控制器和服務，禁用 NTLM 中繼，尤其是對 LDAP 和 HTTP 服務的中繼：
• 在域控制器上設置 NTLM Relay Protection。
• 啟用 Extended Protection for Authentication (EPA)，防止 NTLM 被中繼。

2. 強制使用 Kerberos 加密

• 配置所有域內服務（例如 LDAP、SMB）強制使用 Kerberos 加密或 LDAPS，而非 NTLM。

• 禁用明文 LDAP（端口 389），改用 LDAPS（端口 636）。

3. 修復 ADCS 配置

• 如果使用 ADCS，確保：
• 禁用允許 NTLM 中繼到 HTTP 的功能。
• 檢查證書模板的權限，限制低權限用戶請求高權限證書。

4. 監控和審計

• 使用 SIEM 工具監控 Kerberos 和 NTLM 認證流量，檢測異常行為。

• 審計所有證書模板和服務配置，確保不允許低權限用戶進行高權限操作。

5. 安裝補丁

• 確保所有 Windows 系統和 Active Directory 組件已安裝最新的安全更新。

總結

• [GitHub 項目頁面（如有）] 用於了解工具的源代碼和使用文檔。

• 微軟官方文檔：有關 Kerberos 和 NTLM 安全配置的建議。