无域用户下的渗透思路

jiangmingzi

luochen 网络安全杂记 2023-10-06 16:30 发表于河北

场景：打下某个点属于工作组机器，通过nltest或者nbtscan等攻击发现内网有域环境，但是没有域用户的权限
三种情况下的渗透思路：
1、通过nltest或者nbtscan找到域控，并且可以建立空连接   #使用命令 net use \\*.*.*.*（IP地址）\ipc$ "" /user:"" 就可以简单地和目标建立一个空连接（需要目标开放ipc$）

2、找到域控，但是无法建立空连接

3、没找到域控，但是通过nbtscan知道了域的名字



域用户名爆破

工具名：Kerbrute.exe

实现原理：通过Kerberos预身份验证快速暴力破解和枚举有效Active Director账户

下载地址：https://github.com/ropnop/kerbrute https://github.com/ropnop/kerbrute/releases

工具使用：导入用户名字典，相对于是验证字典里的用户是否存在

kerbrute.exe userenum -d god user.txe
# userenum  是用户爆破功能
# -d god    是指定域
# user.txt  是本地字典，每行是用户名


成功获取域内的域用户名，下一步准备爆破域用户密码。



域用户名密码爆破

工具名称：BlastDomainUserPwd.exe

实现原理：通过IPC连接->爆破域用户密码

使用场景：通过上一步kerbrute.exe 获取到的域用户名进行弱口令爆破

下载地址：https://www.gitmemory.com/SkewwG

工具使用：

Usage: BlastDomainUserPwd.exe <domainComputerIp> <domainUser.txt> <password> <t_num>

       BlastDomainUserPwd.exe \\192.168.52.29 domainUser.txt password 100

       BlastDomainUserPwd.exe \\域机器IP 域用户名字典 尝试爆破的密码 多线程数目



域用户名字典格式规范：域名\域用户名

domain\user

运行实例：BlastDomainUserPwd.exe \\192.168.3.31 user.txt admin!@#45 3



成功爆破出的域用户密码保存在当前目录的success.txt文本里。