Microsoft MVP성태의 닷넷 이야기
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일
 

AD 도메인에 참여하지 않은 컴퓨터에서 Kerberos 인증을 사용하는 방법

재미있는 팁이 하나 올라왔군요. ^^

https://twitter.com/cnotin/status/1544693945443262466/

I did not expect a non-domain joined Windows machine, using an identity provided with "runas /netonly", to silently manage to obtain a Kerberos TGT then use it to access a service! 😮
I thought it would fallback to NTLM immediately...
That's nice though


netonly_option.jpg

일반적으로 도메인에 참여한 컴퓨터에서 klist 명령을 내리면 다음과 같은 식으로 Kerberos 인증 정보를 출력합니다.

c:\temp> klist

Current LogonId is 0:0x1a9b374

Cached Tickets: (4)

#0>     Client: TestUsr @ TESTAD.COM
        Server: krbtgt/TESTAD.COM @ TESTAD.COM
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
        Start Time: 7/7/2022 7:41:54 (local)
        End Time:   7/7/2022 17:41:54 (local)
        Renew Time: 7/11/2022 11:27:08 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x1 -> PRIMARY
        Kdc Called: ad1.TESTAD.com

...[생략]...

#3>     Client: TestUsr @ TESTAD.COM
        Server: host/testpc.TESTAD.com @ TESTAD.COM
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Start Time: 7/4/2022 11:27:08 (local)
        End Time:   7/4/2022 21:27:08 (local)
        Renew Time: 7/11/2022 11:27:08 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0
        Kdc Called: ad1.TESTAD.com

반면, 도메인에 참여하지 않은 PC에서는 이렇게 비어 있는 Ticket만 볼 수 있습니다.

c:\temp> klist

Current LogonId is 0:0x123c2f

Cached Tickets: (0)

그런데 만약 도메인 계정 정보를 알고 있다면 도메인에 참여하지 않은 PC에서도 그 도메인 계정의 Kerberos 인증 정보를 가질 수 있습니다.

이를 위해 "runas /netonly" 명령어를 다음과 같이 수행하면 됩니다.

runas /netonly /user:[도메인 계정] [명령어]

예를 들어 이렇게 수행하는 것인데요,

c:\temp> runas /netonly /user:TESTAD\TestUsr cmd
Enter the password for TESTAD\TestUsr:
Attempting to start cmd as user TESTAD\TestUsr ...

보는 바와 같이 해당 도메인 계정을 /user 옵션으로 지정하고 이후 password를 묻는 과정에서 정상적인 암호를 입력했다면 이제 대상이 되는 "[명령어]" 프로세스, 위의 경우 cmd.exe 프로세스에서는 Kerberos 인증 정보를 획득할 수 있습니다.

하지만, 저렇게 실행한 프로세스에서 기본적으로 Kerberos 인증 티켓을 소유하고 있지는 않습니다. 그것을 해당 cmd.exe 프로세스에서 klist로 확인할 수 있는데요,

// runas로 실행된 cmd.exe 환경

C:\WINDOWS\system32> klist

Current LogonId is 0:0xf167172b

티켓이 없습니다. 하지만, runas로 지정한 user가 속한 도메인의 자원에 접속하면 이후 티켓을 소유하게 됩니다. (이때 프로세스 레벨로 cache되는 것이 아니고, 시스템 전역적으로 보관됩니다.)

// runas로 실행된 cmd.exe 환경

C:\WINDOWS\system32> dir \\testpc\c$
 Volume in drive \\testpc\c$ has no label.
 Volume Serial Number is A0A5-FF2C

 Directory of \\testpc\c$

...[생략]...
2022-06-12  오후 08:10    <DIR>          Windows
               0 File(s)              0 bytes
              13 Dir(s)  33,413,210,112 bytes free

C:\WINDOWS\system32> klist

Current LogonId is 0:0xf167172b

Cached Tickets: (2)

#0>     Client: TestUsr @ TESTAD.COM
        Server: krbtgt/TESTAD.COM @ TESTAD.COM
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
        Start Time: 7/7/2022 9:29:51 (local)
        End Time:   7/7/2022 19:29:51 (local)
        Renew Time: 7/14/2022 9:29:51 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x1 -> PRIMARY
        Kdc Called: ad1

#1>     Client: TestUsr @ TESTAD.COM
        Server: cifs/testpc @ TESTAD.COM
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Start Time: 7/7/2022 9:29:51 (local)
        End Time:   7/7/2022 19:29:51 (local)
        Renew Time: 7/14/2022 9:29:51 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0
        Kdc Called: ad1.TESTAD.com




사실, 도메인에 참여하지 않은 PC가 도메인의 자원을 접근하는 것은 해당 도메인의 계정 정보만 알고 있으면 가능합니다. 가령 위에서 한 실습을 (도메인에 참여하지 않은) 다른 PC에서 "\\test\c$" 경로로 접근하려고 하면 계정 정보를 묻는 창이 뜨고 인증이 되면 해당 도메인 자원에 접근이 가능합니다.

하지만, 그런 상태에서 "klist" 명령어로 확인해 보면 "Cached Tickets"이 비어 있습니다. 아직 저도 이해가 부족해 현실적으로 이런 차이가 뚜렷한 이점을 가져다주는 상황이 언제인지는 알 수 없으나... 그냥 한 번 봐둘 만한 것 같습니다. ^^




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]







[최초 등록일: ]
[최종 수정일: 7/7/2022]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 작성자
 




1  [2]  3  4  5  6  7  8  9  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
13162정성태11/15/2022669.NET Framework: 2069. .NET 7 - AOT(ahead-of-time) 컴파일
13161정성태11/14/2022506.NET Framework: 2068. C# - PublishSingleFile로 배포한 이미지의 역어셈블 가능 여부 (난독화 필요성) [2]
13160정성태11/11/2022584.NET Framework: 2067. C# - PublishSingleFile 적용 시 native/managed 모듈 통합 옵션
13159정성태11/10/2022661.NET Framework: 2066. C# - PublishSingleFile과 관련된 옵션 [2]
13158정성태11/9/2022462오류 유형: 826. Workload definition 'wasm-tools' in manifest 'microsoft.net.workload.mono.toolchain' [...] conflicts with manifest 'microsoft.net.workload.mono.toolchain.net7'
13157정성태11/8/2022616.NET Framework: 2065. C# - Mutex의 비동기 버전파일 다운로드1
13156정성태11/7/2022622.NET Framework: 2064. C# - Mutex와 Semaphore/SemaphoreSlim 차이점파일 다운로드1
13155정성태11/4/20221139디버깅 기술: 183. TCP 동시 접속 (연결이 아닌) 시도를 1개로 제한한 서버
13154정성태11/3/2022627.NET Framework: 2063. .NET 5+부터 지원되는 GC.GetGCMemoryInfo파일 다운로드1
13153정성태11/2/2022541.NET Framework: 2062. C# - 코드로 재현하는 소켓 상태(SYN_SENT, SYN_RECV)
13152정성태11/1/2022516.NET Framework: 2061. ASP.NET Core - DI로 추가한 클래스의 초기화 방법
13151정성태10/31/2022561C/C++: 161. Windows 11 환경에서 raw socket 테스트하는 방법파일 다운로드1
13150정성태10/30/2022615C/C++: 160. Visual Studio 2022로 빌드한 C++ 프로그램을 위한 다른 PC에서 실행하는 방법
13149정성태10/27/2022515오류 유형: 825. C# - CLR ETW 이벤트 수신이 GCHeapStats_V1/V2에 대해 안 되는 문제파일 다운로드1
13148정성태10/26/20221080오류 유형: 824. msbuild 에러 - error NETSDK1005: Assets file '...\project.assets.json' doesn't have a target for 'net5.0'. Ensure that restore has run and that you have included 'net5.0' in the TargetFramew
13147정성태10/25/2022523오류 유형: 823. Visual Studio 2022 - Unable to attach to CoreCLR. The debugger's protocol is incompatible with the debuggee.
13146정성태10/24/2022613.NET Framework: 2060. C# - Java의 Xmx와 유사한 힙 메모리 최댓값 제어 옵션 HeapHardLimit
13145정성태10/21/2022575오류 유형: 822. db2 - Password validation for user db2inst1 failed with rc = -2146500508
13144정성태10/20/2022547.NET Framework: 2059. ClrMD를 이용해 윈도우 환경의 메모리 덤프로부터 닷넷 모듈을 추출하는 방법파일 다운로드1
13143정성태10/19/2022519오류 유형: 821. windbg/sos - Error code - 0x000021BE
13142정성태10/18/2022480[예약]
13141정성태10/17/2022658.NET Framework: 2058. [in,out] 배열을 C#에서 C/C++로 넘기는 방법 - 세 번째 이야기파일 다운로드1
13140정성태10/11/2022605C/C++: 159. C/C++ - 리눅스 환경에서 u16string 문자열을 출력하는 방법 [2]
13139정성태10/9/2022563.NET Framework: 2057. 리눅스 환경의 .NET Core 3/5+ 메모리 덤프로부터 모든 닷넷 모듈을 추출하는 방법파일 다운로드1
13138정성태10/8/20221000.NET Framework: 2056. C# - await 비동기 호출을 기대한 메서드가 동기로 호출되었을 때의 부작용 [1]
13137정성태10/8/2022497.NET Framework: 2055. 리눅스 환경의 .NET Core 3/5+ 메모리 덤프로부터 닷넷 모듈을 추출하는 방법
1  [2]  3  4  5  6  7  8  9  10  11  12  13  14  15  ...