使用密码喷洒进行横向渗透

admin 2021年12月29日21:13:23评论1,021 views字数 1069阅读3分33秒阅读模式

使用密码喷洒进行横向渗透


介绍


横向渗透中的密码喷洒和渗透测试中的原理类似,都是通过一个固定密码去跑搜集好的用户名,PasswordSpray可以直译为密码喷洒、密码喷射、密码喷雾等,凑合起。


DomainPasswordSpray


DomainPasswordSpray是用PS写的一个脚本,可以搜集域中的账号进行密码喷洒,地址如下:


URL:https://github.com/dafthack/DomainPasswordSpray/


用法参考ReadMe就可以,如果在目标机执行,需要先powershell -exec bypass进去,然后import-module导入。CS的话需要先powershell-import导入脚本,然后再通过powershell去跟函数名调用。


DomainPasswordSpray可以搜集域中的账号名,通过.net来创建域对象,去查询域的相关信息,获取域中的账号,通过指定的密码去挨个尝试用户是否可登录,域中基本都有相关密码策略,需要注意策略中的错误次数限制以及账号被锁定时间,使用时避免账号被锁定。


如果拿到了域中的某台机器,可以通过cme的pass-pol来查看域密码策略:


使用密码喷洒进行横向渗透


像上面的threshold账号锁定阈值,是none,则代表没有错误次数限制,duration账号锁定时间为30分钟。如果threshold有次数限制,则密码字典条数最好小于该值,避免被锁定。


smb_login


msf的smb_login模块也支持这种域内密码喷洒,使用截图如下:


使用密码喷洒进行横向渗透


CrackMapExec


cme作为神器也有类似的密码喷洒功能,用法如下:


使用密码喷洒进行横向渗透


如果使用了proxychains代理,则默认会输出很多日志信息,影响结果查看,建议使用q参数指定安静模式,只显示相应结果。


除了p密码形式,也可以使用H指定hash,同时IP、用户名和密码都可以换成文件的形式:


使用密码喷洒进行横向渗透


这里刚开始使用的时候,发现并没有喷洒完,没有显示全部的结果,这种机制即找到成功的凭证后就会停止,和smb_login的STOP_ON_SUCCESS参数作用是一样的,经过cme参数查看,发现有一个continue-on-success参数:


曾经别人提过相同的问题:

https://github.com/byt3bl33d3r/CrackMapExec/pull/248


使用密码喷洒进行横向渗透


总结


没有什么可总结的其实,就是站在巨人的肩膀上去用一些工具,很多时候,越用就感觉自己越菜,时间长了,就发现,基础的东西、原理性的东西、底层的东西、代码这些是很重要的。

本文始发于微信公众号(aFa攻防实验室):使用密码喷洒进行横向渗透

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月29日21:13:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   使用密码喷洒进行横向渗透https://cn-sec.com/archives/473842.html

发表评论

匿名网友 填写信息