域内用户枚举和密码喷洒

最新推荐文章于 2024-07-27 10:38:25 发布
最新推荐文章于 2024-07-27 10:38:25 发布
阅读量969 收藏 26
点赞数 24
分类专栏: 内网篇 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y22Lee/article/details/139371984
版权

一. 域内用户枚举原理和流量

1. 原理

在AS-REQ阶段客户端向AS发送用户名,cname字典存放用户名,AS对用户名进行验证,用户存在和不存在返回的数据包不一样。

不同之处主要是在返回数据包中的状态码不同,根据不同的状态码来区分账号在目标主机上的情况!

状态码主要分为四种:

KRB5DC_ERR_PREAUTH_REQUIRED 需要额外的预认证(用户存在)但是没有提供密码
KRB5DC_ERR_CLIENT_REVOKED 客户端凭证已被吊销(禁用)
KRB5DC_ERR_C_PRINCIPAL_UNKNOWN 在Kerberos数据库中找不到客户端(不存在)
KRB5KDC_ERR_PREAUTH_FAILED(用户存在密码错误)

官方文档中还有对应的状态码
微软地址: https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/event-4771

在这里插入图片描述

2. 流量分析

根据上面的四种状态码进行测试和流量分析:

用户存在,但是没有提供密码(test)

使用kerbrute工具输入下面命令并抓包

kerbrute.exe userenum --dc 192.168.41.10 -d hack.com 1.txt

在这里插入图片描述
先看AS-REQ包,里面只传输了我们要请求的用户名,而没有写密码
在这里插入图片描述
再看AS-REP包里的状态码

在这里插入图片描述

客户端凭证已被吊销(Guest(禁用))

我们使用kekeo工具输入下面命令申请用户的TGT票据

Tgt::ask /user:域用户 /domain:域名 /password:密码,

在这里插入图片描述
AS-REQ
在这里插入图片描述
AS-REP
在这里插入图片描述
可以看到请求的用户名是Guest,返回时的
数据是disabled禁用

test2在Kerberos数据库中找不到客户端(不存在)
用上面方法抓包分析
在这里插入图片描述
AS-REQ
在这里插入图片描述
AS-REP
在这里插入图片描述
可以看到请求的用户名是qwe,返回是的
数据是unknown

用户存在密码错误(test)
用上面方法抓包分析
在这里插入图片描述
AS-REQ

AS-REP
在这里插入图片描述
可以看到请求的用户名是ls,但是提供了错误的密码

3. 总结

域内用户枚举的原理是利用这两个都可以证明用户的存在:

    1. 正确的用户名,没有提供密码
    1. 正确的用户名,密码错误

这俩种都是根据AS-REP返回的error-code值来判断枚举的用户是否存在

比如利用kerbrute测试,在用户字典中添加几个用户
在这里插入图片描述

二. 域内密码喷洒原理和流量

利用kerbrute测试并抓包分析

kerbrute.exe passwordspray --dc 192.168.41.10 -d hack.com 1.txt qwe123!@#

test用户存在,密码错误
在这里插入图片描述
这里与上面不同,有四个数据包,原理是它先验证用户名是否存在,然后再进行密码验证

AS-REQ
在这里插入图片描述

AS-REP
在这里插入图片描述
在这里插入图片描述
test用户存在,密码正确
在这里插入图片描述
AS-REQ
在这里插入图片描述

AS-REP
在这里插入图片描述

三. 枚举和喷洒工具的使用

原理搞明白后接下来介绍来个工具

1. kerbrute工具

kerbrute使用Go语言开发,github提供了编译好的文件

地址: https://github.com/ropnop/kerbrute/releases

使用方法:
在这里插入图片描述
域内用户枚举

kerbrute.exe userenum--dc 域控IP -d 域名 用户字典

在这里插入图片描述

域内密码喷洒

kerbrute.exe passwordspray--dc 域控IP -d 域名 用户字典 密码(单密码)(有锁定策略使用)
kerbrute.exe bruteuser --dc 域控IP -d 域名 密码字典 用户名(没有锁定策略使用)

在这里插入图片描述
在这里插入图片描述

2. pykerbute工具

该工具是使用python2编写,支持tcp和udp俩种协议来用户枚举

用户枚举
EnumADUser.py 192.168.41.10 hack.com 1.txt tcp

密码喷洒
hash值:
ADPwdSpray.py 192.168.41.10 hack.COM 1.txt ntlmhash e00045bd566a1b74386f5c1e3612921b udp
明文密码:
ADPwdSpray.py 192.168.41.10 hack.COM 1.txt clearpassword Admin@123 udp

四. 工作组和域内 – 喷洒和枚举

1. 不同环境下使用密码喷洒的场景

工作组环境
(1) 可以使用本地账号进行hash碰撞,找到可以登录的机器进行PTH认证,然后横向过去

(2) 如果通过信息收集,发现了域控的IP还有域名,可以直接使用工作组机器对域内用户进行密码喷洒,如果知道了域用户的密码可以生成票据,进行PTT,然后横向攻击上线

域环境
(1) 在域环境中一般不需要进行域内用户枚举,因为可以使用 net user /domain 可以直接查看。
(2) 在域环境中我们可以使用密码喷洒找到域用户的密码然后进行横向。

2. 工作组喷洒和域内主机喷洒的区别
工作组:
  工作组--工作组:
    可以使用NTLM协议:IPC,明文密码,PTH
  工作组--域内主机
    kerberos协议:用户枚举,密码喷洒
    NTLM协议:IPC,PTH
域内机器:
  域内机器-域内机
    kerberos协议:密码喷洒,IPC,PTH,PTT,PTK,明文密码
  域内机器-工作组机器
    NTLM协议:IPC,PTH

五. 通过喷洒控制域内主机

由上可知要喷洒用户由如下特点:

工作组:administrator用户 普通管理员(有UAC)但是只能上线低版本机器
域用户:administrator或者普通域管理员用户都可以
1. 工作组喷洒域内主机
前提条件:
  域控IP
  域名
  域内用户(需要枚举)
前俩个条件可以通过信息收集得到,但查看域内用户不行,除非控制的是域内用户,可以使用net user /domain 查看,所以需要枚举
  • 需要注意的是:上线的时候一定要把DNS修改不然PTT会失败
    在这里插入图片描述
    不然无法与域控通信

第一步成功上线内网一台工作组机器,利用CS插件上传FSCAN扫描C段
在这里插入图片描述
看到有DC的IP
第二步开始用户枚举,先上传工具kerbrute
在这里插入图片描述
输入命令开始用户枚举

kerbrute.exe userenum --dc 192.168.41.10 -d hack.com 1.txt

在这里插入图片描述
枚举到DC的用户,开始对administrator用户进行密码喷洒

kerbrute.exe bruteuser --dc 192.168.41.10 -d hack.com 2.txt administrator

在这里插入图片描述
得到DC的超管用户和明文密码使用之前的任意横向技术即可上线!

2. 域内主机进行喷洒,上线域控
前提:
域控IP
域名
域内用户(不需要枚举,使用net user /domain)

查看域内成员
在这里插入图片描述
上传工具,进行密码喷洒
在这里插入图片描述
接下来横向推荐使用PTT,因为得到票据,将超管票据打入内存后,可以上线任意域内成员机

3. 工作组hash碰撞或者密码喷洒

只能使用IPC,明文密码或者是pth认证,认证通过之后,可以使用copy命令将木马copy到目标机器,还可以使用服务或者是计划任务上线CS!

Y22Lee
关注
专栏目录
用户枚举密码喷洒攻击(Password Spraying)
谢公子的博客
04-28 4197
目录 用户枚举 密码喷洒攻击 在 Kerberos 协议认证的 AS-REQ阶段,cname 的值是用户名。当用户不存在时,返回包提示错误。当用户名存在,密码正确和密码错误时,AS-REP的返回包不一样。所以可以利用这点,对内进行用户枚举密码喷洒攻击 用户枚举 当主机不在内时,我们可以通过用户枚举来探测内的用户。我们可以使用nmap指定脚本来探测。 nmap ...
用户枚举密码喷洒
G3et的博客
01-08 310
在Kerberos认证的AS-REQ阶段,请求包cname对应的值是用户名。当用户名存在时,在密码正确和错误的情况下,AS-REP的返回包是不一样的,所以可以利用这点对用户进行密码喷洒。在Kerberos认证的AS-REQ阶段,请求包cname对应的值是用户名。AS-REP的包各不相同,可以利用这点进行内用黄金枚举用户可以在没有内有效凭据下,枚举内所存在的用户名,从而可以进行密码喷洒。主要介绍工具:kerbrute,当然还有其它的工具。–dc:控IP或控名称。后面跟上我们的密码即可。
内网安全密码喷洒
weixin_45910629的博客
04-06 1069
密码喷洒一般和用户枚举一起使用,可以在无内凭据的情况下,通过枚举内存在的用户名,进而对内存在的用户名进行密码喷洒,以此来获得内有效凭据。在Kerberos协议认证的AS-REQ阶段,请求包cname对应的值是用户名,当用户名存在,密码正确和密码错误时,AS-REP的返回包不一样。这种针对所有用户的自动密码猜测通常是为了避免账户被锁定,因为如果目标设置了用户锁定策略的话,针对同一个用户的连续密码猜测会导致账户被锁定。
内网漏扫工具fscan
最新发布
耕耘
07-27 954
fscan是一款内网综合扫描工具,方便一键自动化、全方位漏扫扫描。支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、控识别等功能。
内攻击手法——用户枚举密码喷洒
Naive的博客
06-21 1350
用户枚举可以在无内有效凭据的情况下,枚举内存在的用户名,并对其进行密码喷洒攻击,以此获得内的有效凭据。
密码喷洒实现
热门推荐
Shanfenglan's blog
10-27 9万+
密码喷洒 利用一个powershell工具完成DomainPasswordSpray 利用工具:DomainPasswordSpray 命令 下载工具 curl https://raw.githubusercontent.com/dafthack/DomainPasswordSpray/master/DomainPasswordSpray.ps1 > C:\Users\Administrator\Desktop\1.ps1 powershell (new-object System.Net.W
用户枚举密码喷洒
qq_18811919的博客
02-26 813
用户枚举密码喷洒讲解了4种工具的使用
渗透—用户枚举与口令爆破
内心不种满鲜花就会长满杂草
03-24 4406
Kerberos本身是一种基于身份认证的协议,在 Kerberos 协议认证的 第一阶段AS-REQ ,当用户不存在时,返回包提示错误。当用户名存在,密码正确和密码错误时,AS-REP的返回包不一样。所以可以利用这点,对内进行用户枚举密码喷洒攻击。
Kerberos端口用户枚举密码喷洒
问题很多的小明
10-13 1500
环境 控环境: hacktest.com 10.211.55.3 内主机或者非内主机:10.211.55.6 控Kerberos 88端口开启: 工具准备 https://github.com/ropnop/kerbrute/releases 准备字典:111.txt 用户枚举 kerbrute_windows_amd64.exe userenum -d hacktest.com 111.txt 密码喷洒 kerbrute_windows_amd64.e
渗透-用户枚举密码喷洒
weixin_43227251的博客
05-06 1195
渗透-用户枚举密码喷洒 在 Kerberos 协议认证的 AS-REQ 阶段,cname 的值是用户名。当用户不存在时,返回包提示错误。当用户名存在,密码正确和密码错误时,AS-REP的返回包不一样。所以可以利用这点,对内进行用户枚举密码喷洒攻击 用户枚举 当主机不在内时,我们可以通过用户枚举来探测内的用户。 我们可以使用Kerbrute工具进行探测。 工具地址:https://github.com/ropnop/kerbrute kerbrute_windows_amd64.exe
外对内进行信息收集、密码喷洒
内心不种满鲜花就会长满杂草
06-06 1773
LDAP(Lightweight Directory Access Protocol),轻量⽬录访问协议,是⼀种⽤来查询与更新 Active Directory 的⽬录服务通信协议。AD 服务利⽤ LDAP 命名路径(LDAP naming path)来表示对象在 AD 内的位置,以便⽤它来访问 AD 内的对象,默认端⼝ 389。用户枚举密码喷洒...
[内网渗透]—外向内信息收集、密码喷洒
Sentiment的博客
12-16 1514
当我们与目标内网建立了socks5隧道后,就可以从外对内机器进行信息搜集了,很多工具不用上传到目标机器,也就不易被AV检测到,但是有可能会被一些流量检测设备发现有大量socks5流量。接下来介绍下如何通过外对内进⾏更深的信息搜集:枚举⽤户、查看内⽤户、查看内组、查看内机器列表…LDAP(轻量⽬录访问协议),是⼀种⽤来查询与更新 Active Directory 的⽬录服务通信协议。AD 服务利⽤ LDAP 命名路径(LDAP naming path)来表示对象在 AD 内的位置,以便⽤它来
中计算机与用户,枚举内所有用户和计算机的脚本
weixin_36337403的博客
06-19 137
枚举内所有用户dim iSet con = CreateObject("ADODB.Connection")Set com = CreateObject("ADODB.Command")'Open the connection with the ADSI-OLEDB provider namecon.Provider = "ADsDSOObject"con.Openset objfso = cr...
用户枚举
内心不种满鲜花就会长满杂草
03-20 9340
一. 漏洞描述 常存在于系统登录界面,由于错误配置或设计缺陷,当向系统提交有效账户和无效账户时,服务器会有不同的响应,利用服务器响应的不同,攻击者可以获取到系统已经存在的账户,可用于暴力破解,进一步获取账户的登录密码。 二. 漏洞存在的地方 通过手工测试,输入账户名,查看页面信心,是否会提示用户名不存在或密码不正确之类的。用户枚举常存在于如下地方: 1. 登录界面 如下输入不存在的用户名显示用户名不存在,输入错误的密码就会显示密码错误,典型的用户枚举。注意...
浅谈“用户枚举
→_→
07-21 1万+
一:漏洞名称: 用户枚举 描述: 存在于系统登录页面,利用登陆时输入系统存在的用户名错误密码和不存在的用户名错误密码,返回不同的出错信息可枚举出系统中存在的账号信息。 检测条件: 存在于系统登录页面,利用登陆时输入系统存在的用户名错误密码和不存在的用户名错误密码,返回不同的出错信息可枚举出系统中存在的账号信息。 检测方法: 已知Web网站具有登录页面。 登录错误回显不一至。 漏洞修复: 找到网站或者web系统登录页面。 在web系统登录页面,通过手工方.
(八)用户枚举
weixin_30710457的博客
06-12 1189
01漏洞描述 由于错误配置或设计缺陷,当向系统提交有效账户和无效账户时,服务器会有不同的响应。利用响应的不同,攻击者可以获取到系统已经存在的账户,可用于暴力破解,进一步获取账户的登录密码。 02漏洞检测 用户枚举漏洞的检测比较简单,只需用不同的账户去登录,查看服务器响应是否有差异即可(查看页面、查看响应包等)。 有效账户 输入系统存在的账户和任意密码,系统响应密码错误。 ...
用户枚举进程的几种方法
jingzhongrong
02-13 2065
最近在准备一个进程查看(当然不只进程查看功能了)的工具,总结了在用户态下查找进程的几种方法。当然,如果想要真正做到进程查看,还是要进入核心态中,因为在用户态是查不到什么东西的,但是可以用来和核心态结果进行比较找出隐藏进程。(内核级病毒、木马在Ring0中可以很容易的做到隐藏而是用户态程序检测不到)。//write by jingzhongrong1、利用ToolHelp API
每日漏洞 | 用户枚举
03-12 653
每日漏洞 | 用户枚举
Windows渗透:用户密码枚举工具DomainPasswordSpray介绍与使用
Windows渗透中的用户密码枚举安全的一个重要话题,这篇文章提供的`DomainPasswordSpray`脚本是一个有效的实施方法,通过Powershell实现了自动化和高效的过程,有助于提高渗透测试的效率和准确性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值