Rubeus深度解析：Kerberos安全测试的终极实践指南

一、核心价值：为什么Rubeus是安全测试的必备工具

在现代企业网络中，Kerberos协议如同守护城堡的三头犬，既保护着资源安全，又可能成为攻击者突破防线的关键。当安全测试人员面对复杂的域环境认证机制时，如何有效评估Kerberos协议的安全性？Rubeus作为一款专注于Kerberos协议交互的开源工具，就像一把精准的解剖刀，能够深入解析认证流程中的薄弱环节。

🚨 实际安全痛点：传统安全测试工具往往只能检测Kerberos表面配置问题，而无法深入协议内部进行交互测试。Rubeus通过直接操作Kerberos票据生命周期（请求-伪造-管理-分析），帮助测试人员完整评估域环境的认证安全边界。其核心价值体现在三个方面：协议原生交互能力、完整攻击链模拟支持、跨平台域环境适配性。

该工具的模块化架构使其能够灵活应对不同测试场景，主要功能分布在以下核心代码目录：

• Commands/：实现各类Kerberos操作命令（如票据请求、伪造、管理等）
• lib/krb_structures/：定义Kerberos协议数据结构（如Ticket、AS_REQ等）
• lib/crypto/：提供加密算法实现（支持AES、RC4等Kerberos加密类型）

二、技术原理：Kerberos协议与Rubeus实现机制

2.1 Kerberos认证基础

想象Kerberos认证就像一场严格的宫廷舞会：用户（客户端）需要向舞会组织者（KDC）证明身份，获得入场券（TGT），才能向特定舞伴（服务）请求共舞（服务票据）。这个过程包含三个关键角色：客户端（Client）、密钥分发中心（KDC）和服务端（Service）。

🔍 核心交互流程：

1. 客户端向KDC的AS（认证服务）发送身份请求
2. AS验证身份后返回加密的TGT（票证授予票证）
3. 客户端使用TGT向KDC的TGS（票证授予服务）请求服务票据
4. TGS验证TGT后发放服务票据
5. 客户端使用服务票据访问目标服务

Rubeus通过在lib/krb_structures/Ticket.cs中实现的Ticket类，精准解析和构造Kerberos票据结构，其中DecryptTicket()方法是实现票据破解的核心函数。

2.2 关键技术实现

Rubeus能够操控Kerberos协议的秘密在于其对协议细节的深度实现：

1. 票据解析机制 在lib/krb_structures/EncTicketPart.cs中，EncTicketPart类实现了加密票据部分的解析，通过Decode()方法将原始字节流转换为可操作的对象属性，包括客户端信息、服务信息和会话密钥等关键数据。

2. 加密算法适配 lib/crypto/Crypto.cs中的Crypto类封装了Kerberos支持的多种加密算法，其中DecryptEncryptedData()方法根据加密类型（ETYPE）自动选择对应算法进行解密，支持从RC4到AES的全系列Kerberos加密标准。

3. Windows API交互 通过lib/Interop.cs中的LsaCallAuthenticationPackage()函数，Rubeus能够直接与Windows本地安全机构（LSA）交互，实现票据注入（PTT）等高级功能，这是实现"票据传递"攻击的技术基础。

三、实战应用：Rubeus核心功能场景化指南

3.1 场景一：域用户认证票据获取

问题：在渗透测试初期，如何在不直接获取明文密码的情况下，获取有效的Kerberos认证票据？

解决方案：使用asktgt命令通过NTLM哈希请求TGT票据

🛠️ 操作步骤： 首先，通过前期信息收集获取目标用户的NTLM哈希（如通过凭证转储工具） 其次，使用Rubeus构造TGT请求：

Rubeus.exe asktgt /user:targetuser /domain:corp.com /rc4:a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 # 使用RC4加密算法

然后，分析命令输出，确认是否成功获取TGT票据（Base64格式） 最终，可选择使用/ptt参数将票据注入当前会话，实现无密码认证

代码实现位于Commands/Asktgt.cs的Execute()方法，核心是构造AS_REQ请求并处理AS_REP响应

3.2 场景二：黄金票证攻击模拟

问题：如何利用域控制器权限创建持久化访问凭证？

解决方案：通过golden命令伪造高权限TGT票据

🛠️ 操作步骤： 首先，获取域的KRBTGT账户NTLM哈希和域SID（可通过域控制器权限获取） 其次，构造黄金票证命令：

Rubeus.exe golden /user:Administrator /domain:corp.com /sid:S-1-5-21-1234567890-123456789-1234567890 /krbtgt:deadbeefdeadbeefdeadbeefdeadbeef /ptt # 注入高权限票据

然后，验证票据有效性（如访问域控制器C$共享） 最终，可通过klist命令确认票据已成功注入当前会话

黄金票证生成逻辑在Commands/Golden.cs中实现，关键函数BuildGoldenTicket()负责构造伪造的TGT结构

3.3 场景三：Kerberoasting攻击实施

问题：如何在不触发告警的情况下，获取服务账户的密码哈希进行离线破解？

解决方案：使用kerberoast命令请求服务票据并提取加密部分

🛠️ 操作步骤： 首先，枚举域内具有SPN的服务账户：

Rubeus.exe kerberoast /domain:corp.com /user:svc_sql # 针对特定服务账户

其次，保存输出中的Base64编码票据到文件 然后，使用Hashcat等工具进行离线破解：

hashcat -m 13100 -a 0 kerberoast_hash.txt rockyou.txt # 使用Kerberoast哈希模式(13100)

最终，验证破解出的凭据在域环境中的有效性

该功能在Commands/Kerberoast.cs中实现，Roast()方法负责处理TGS_REQ请求和响应解析

四、典型攻击链分析：从初始访问到域控权限

4.1 完整攻击流程

假设攻击者已获得域内普通用户权限，通过Rubeus实施的典型攻击链如下：

1. 信息收集阶段

   Rubeus.exe triage # 收集当前会话票据信息
   

   该命令位于Commands/Triage.cs，通过枚举当前进程和会话信息，识别潜在的票据利用机会。

2. 凭证获取阶段

   Rubeus.exe asreproast /user:lowprivuser /domain:corp.com # 对AS-REP roasting易感账户进行攻击
   

   利用未启用预认证的账户，获取可离线破解的AS-REP响应，实现代码在Commands/Asreproast.cs中。

3. 权限提升阶段

   Rubeus.exe s4u /user:serviceaccount /rc4:hash /impersonateuser:administrator /msdsspn:cifs/dc01.corp.com # 利用S4U约束委派
   

   通过服务账户的约束委派权限，模拟高权限用户访问目标服务，核心实现位于Commands/S4u.cs的PerformS4U2Self()方法。

4. 持久化阶段

   Rubeus.exe diamond /user:krbtgt /domain:corp.com /krbtgt:hash # 创建钻石票证
   

   钻石票证结合了黄金票证和白银票证的特点，提供更隐蔽的持久化访问，代码位于Commands/Diamond.cs。

4.2 攻击链关键点

• 票据传递技术：通过ptt参数将获取的票据注入当前会话，避免明文密码使用
• 加密类型选择：优先使用AES加密类型（/aes256参数）以绕过RC4检测规则
• 时间戳伪造：通过/startoffset和/endin参数控制票据有效期，避免时间异常检测

五、防御体系：构建Kerberos安全防护网

5.1 技术防御措施

1. 加密配置强化

• 禁用RC4加密类型：在域控制器组策略中设置"网络安全:配置Kerberos加密类型"为仅允许AES
• 实施步骤：计算机配置 → 管理模板 → 系统 → Kerberos → 启用"将Kerberos加密类型限制为指定的类型"并选择AES128_HMAC_SHA1和AES256_HMAC_SHA1

2. 事件监控规则

• 检测黄金票证：监控事件ID 4769（Kerberos服务票证请求）且加密类型为0x17（RC4）且客户端名称与用户名称不符
• 检测票据注入：监控事件ID 4624（登录成功）且登录类型为9（新凭证）且进程名称非lsass.exe

3. 凭证保护机制

• 部署Windows Defender Credential Guard：防止lsass进程中的凭证被提取
• 实施KB5008380补丁：修复Kerberos协议中的PAC签名验证漏洞

5.2 检测工具与方法

1. 日志分析 使用以下PowerShell命令检测异常Kerberos活动：

Get-WinEvent -FilterHashtable @{LogName='Security';Id=4769} | Where-Object {$_.Properties[5].Value -eq 0x17} # 查找RC4加密的票据请求

2. 网络流量监控 通过Wireshark过滤Kerberos流量：

kerberos && (kerberos.CNameString != kerberos.SNameString) # 检测客户端与服务端名称不一致的票据请求

3. 行为基线建立 记录正常的Kerberos票据请求时间模式和加密类型分布，使用SIEM工具检测偏离基线的异常活动。

六、进阶指南：Rubeus高级使用与扩展

6.1 自定义命令开发

Rubeus的模块化设计允许安全研究人员扩展其功能。创建新命令的基本步骤：

1. 在Commands目录下创建新的命令类（如CustomAttack.cs）
2. 实现ICommand接口，重点实现Execute()方法
3. 在Domain/CommandCollection.cs中注册新命令
4. 使用MSBuild重新编译项目：

msbuild Rubeus.sln /t:Rebuild /p:Configuration=Release

6.2 绕过技术研究

1. 防御规避技巧

• 使用/nowrap参数避免生成控制台输出，减少操作痕迹
• 通过/domaincontroller参数指定特定KDC，分散请求负载
• 利用/opsec参数启用操作安全模式，自动调整请求频率

2. 高级票据操作

• 票据转换：使用krbi命令在不同票据格式间转换

Rubeus.exe krbi /ticket:base64ticket /outfile:ticket.kirbi # 转换为Kirbi格式

• 票据合并：通过dump命令导出多个票据并整合分析

Rubeus.exe dump /service:krbtgt /outfile:tickets.json # 导出特定服务的票据

6.3 跨平台使用

虽然Rubeus主要面向Windows环境，但可通过以下方式在其他平台使用：

• 使用Mono框架在Linux/macOS上运行：mono Rubeus.exe <command>
• 通过Docker容器化：构建包含.NET Framework的容器镜像
• 利用C#跨平台编译：使用.NET Core重编译核心功能模块

七、负责任使用声明

本工具仅用于合法授权的安全测试活动。在使用Rubeus前，必须确保已获得目标系统所有者的书面授权，严格遵守《计算机信息网络国际联网安全保护管理办法》及相关法律法规。未经授权的访问属于非法行为，可能导致民事赔偿、行政处罚甚至刑事责任。

安全测试应遵循"最小权限"和"最小影响"原则，在测试前制定详细计划，测试中记录所有操作，测试后完整恢复系统状态。任何利用本工具进行的未授权活动，其法律后果由使用者自行承担。

安全研究的价值在于提升整体安全水平，而非造成破坏。作为安全从业者，我们有责任维护网络空间的安全与秩序，通过合法途径发现并修复安全漏洞，共同构建更安全的数字生态系统。