域内密码喷洒详解

在Kerberos协议认证的AS-REQ阶段，在密码正确和密码错误两种情况下，AS-REP的返回包不一样。所以可以利用这一点对域内用户名进行密码喷洒攻击。如果目标域设置了用户锁定策略，可以提高爆破成功率

Kerbrute

如下图所示

pyKerbrute

DomainPasswordSpray.ps1

默认该脚本是利用LDAP从域中导出用户列表，去除锁定的用户

Import-Module xxx.ps1

我们针对user.txt字典中如下用户名使用pyKerbrut工具进行密码喷洒攻击

在密码喷洒攻击的同时，使用Wireshark抓包分析Kerberos流量，数据包均为AS步骤包

admin01用户AS-REP包

wangwu用户AS-REQ包

wangwu用户ASREP包报错为密码不对

1.流量层面：可以通过检测同一IP在短时间内发送是否发送了大量的AS-REQ包来判断。如果同一个IP在短时间内发送大量的AS-REQ包（如1min内大于30个AS-REQ包）则可以判断为异常

2.日志层面：当口令爆破成功时，会产生windows日志为事件ID4768日志且结果代码为0x0的审核成功的kerberos身份验证服务事件日志。而当口令爆破失败时，默认情况下并不记录任何日志，因此日志层面不太好检测

注意：默认情况下，windows系统并不会记录用户名正确但密码错误发起的AS-REQ包的日志。如果想要开启此记录，需要在组策略中配置审核策略和高级策略。日志记录还和通信KDC有关，如果域中存在多个域控，则在不同的域控上记录日志不相同，并不是每个KDC上都有记录所有日志。

原文始发于微信公众号（起凡安全）：域内密码喷洒详解