当前位置: 首页 > news >正文

Kerberos常见工具错误解析与修复指南

news 2026/5/12 0:07:47

常见工具错误 - Kerberos

当你在执行最喜爱的Kerberos攻击时,比如传递票据、公钥加密初始认证、影子凭证或Active Directory证书服务漏洞,但遇到了Kerberos错误,尽管进行了故障排除,仍然不知道该怎么办?这篇文章将快速介绍你可能遇到的不同错误,它们的根本原因以及如何修复命令。

最初我打算写一篇包含所有不同错误、工具和结果的完整博客文章,但我觉得编写一个GitHub Pages应用程序可能更容易参考,因此这里是Kerberos错误索引:[Kerberos错误索引](Kerberos Errorism Index)

域SID

在深入探讨Kerberos之前,你可能会发现运行Certipy或BloodHound类型的命令和工具时,最终会得到未解析的SID。这里有一个方便的参考表来帮助你解决问题:

主体 SID/RID
Administrator S-1-5-21-*-500
Guest S-1-5-21-*-501
krbtgt S-1-5-21-*-502
Domain Admins S-1-5-21-*-512
Domain Users S-1-5-21-*-513
Domain Computers S-1-5-21-*-515
Domain Controllers S-1-5-21-*-516
Enterprise Admins S-1-5-21-*-519
Group Policy Creator Owners S-1-5-21-*-520
Readonly Domain Controllers S-1-5-21-*-521

在识别AD CS ESC*攻击时,这一点尤其重要,因为了解Domain Users或Domain Admins的SID通常是成功实现权限提升的关键!

Kerberos 101

如果你在执行攻击时收到KRB-ERROR,这些消息是Kerberos协议的一部分,每条消息都包含一个错误代码,有助于识别特定的错误类型。你可能会遇到几种类型,下面的小节将分解每种错误、根本原因、可能遇到这些错误的工具,以及最重要的修复命令。

  • KDC_ERR_NONE (0): 无错误
  • KDC_ERR_NAME_EXP (1): 客户端账户或密码已过期
  • KDC_ERR_SERVICE_EXP (2): 服务账户已过期
  • KDC_ERR_BAD_PVNO (3): 请求的协议版本不受支持
  • KDC_ERR_C_OLD (4) & KDC_ERR_S_OLD (5): 客户端或服务的密钥太旧
  • KDC_ERR_CANNOT_USE (6): 在数据库中找不到客户端
  • KDC_ERR_MUST_USE_USER2USER (7): 表示需要用户到用户认证
  • KDC_ERR_SVC_UNAVAILABLE (9): 服务不可用
  • KDC_ERR_ETYPE_NOTSUPP (11): KDC不支持该加密类型
  • KRB_AP_ERR_BAD_INTEGRITY (14): 解密数据的完整性检查失败
  • KRB_AP_ERR_TKT_EXPIRED (15): 票据已过期
  • KRB_AP_ERR_TKT_NYV (16): 票据尚未生效
  • KRB_AP_ERR_REPEAT (17): 请求似乎是重放攻击
  • KRB_AP_ERR_NOT_US (18): 票据不是为所呈现的服务颁发的
  • KRB_AP_ERR_BADMATCH (19): 票据和验证器不匹配
  • KDC_ERR_MODIFIED (20): 通常在SPN配置错误或存在重复条目时遇到
  • KDC_ERR_CLIENT_REVOKED (31): 客户端账户已被撤销或禁用
  • KDC_ERR_SERVICE_REVOKED (32): 服务账户已被撤销
  • KDC_ERR_KEY_EXPIRED (36): 客户端(或服务)的密钥(通常反映密码)已过期
  • KDC_ERR_PREAUTH_FAILED (37): 预认证失败 - 通常由于时钟偏差、错误密码或禁用账户导致
  • KDC_ERR_PREAUTH_REQUIRED (38): KDC需要预认证
  • KDC_ERR_WRONG_REALM (39): 客户端尝试在错误的领域进行认证

在大多数Windows(Active Directory)环境中,一些Kerberos错误往往更频繁地出现,因为它们直接与常见配置问题、时间同步问题或账户状态相关。最常见的包括:

  • KDC_ERR_PREAUTH_FAILED (37): 当提供的凭据(通常是密码)不正确、账户凭据过期或未按预期提供预认证数据时,通常会出现此错误
  • KRB_AP_ERR_TKT_EXPIRED (15): 当票据达到其到期时间时发生此错误,通常是由于票据续订间隔过长
  • KRB_AP_ERR_TKT_NYV (16): 当客户端和域控制器之间存在时间偏差时,经常会遇到"票据尚未生效"错误
  • KDC_ERR_KEY_EXPIRED (36): 这表明用户或服务密钥(通常反映密码)已过期,导致认证失败
  • KDC_ERR_CLIENT_REVOKED (31): 当账户被禁用或撤销时会出现此错误,阻止客户端获取有效票据
  • KDC_ERR_WRONG_REALM (39): 域之间的错误配置或尝试向错误领域进行认证可能触发此错误

这些错误最常见,因为它们直接与Windows域中经常发生的问题相关,例如密码更改、时间同步问题或配置错误的域信任。实际频率可能因环境设置和策略而异。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)

公众号二维码

公众号二维码

http://www.jsqmd.com/news/36555/

相关文章:

  • Vector驱动安装问题解决方案
  • 提取快速关闭选项卡的浏览器访问的链接
  • 2025年苏式月饼礼盒供货厂家权威推荐榜单:五仁月饼/礼盒月饼/月饼价格源头厂家精选
  • Linux挂载硬盘操作手册
  • vim 配置
  • 常见的 Node Conditions 和
  • Print Article-斜率优化dp
  • HT-LFCG-3400+,0改版,测试数据贴图
  • C# 基础——async/await 的实现原理与最佳实践
  • 83736
  • 87078
  • 7885
  • 77777
  • 跳房子 P3957: 单调队列
  • P3622 动物园-状压
  • candy P14328: dp优化
  • 配对序列P11187: 线性dp
  • 2025年新疆广告公司权威推荐榜单:geo服务商/广告加盟/营销推广公司机构精选
  • 计算机毕设java的仓库管理系统 基于Java的智能仓库管理平台研发 Java技术驱动的仓库信息化管理系统设计与实现
  • 吴恩达深度学习课程二: 改善深层神经网络 第二周:优化算法(三)Momentum梯度下降法
  • 2025年大棚专用农膜供应商权威推荐榜单:双色大棚膜/大棚eva农膜/三层共挤大棚膜源头厂家精选
  • 【GitHub每日速递 20251110】开源AI编码神器OpenCode来袭!多平台安装,多模型适配,终端体验拉满
  • Gitee战略升级:从代码托管到AI驱动的工程效率平台
  • springboot项目上传到gitlab
  • 2025年重庆抖音推广机构推荐榜单:杰诚智享领衔行业前沿
  • Oracle OGG日常运维命令都在这里了。
  • flask: 报错:ImportError: cannot import name secure_filename from werkzeug
  • 2025年立式护散炉定制厂家权威推荐榜单:8英寸立式退火炉/立式合金炉/磷扩散炉源头厂家精选
  • 详细介绍:物联网常见通信Cat-1、NB-IoT、Cat-4、LoRa
  • 在Tuanjie引擎中使用自定义Webview