内网渗透 | 域内用户枚举和密码喷洒攻击(Password Spraying)

作者：谢公子

CSDN安全博客专家，擅长渗透测试、Web安全攻防、红蓝对抗。其自有公众号：谢公子学安全

免责声明：本公众号发布的文章均转载自互联网或经作者投稿授权的原创，文末已注明出处，其内容和图片版权归原网站或作者本人所有，并不代表安全+的观点，若有无意侵权或转载不当之处请联系我们处理，谢谢合作！

欢迎各位添加微信号：qinchang_198231  

加入安全+ 交流群 和大佬们一起交流安全技术

在 Kerberos 协议认证的 AS-REQ 阶段，cname 的值是用户名。当用户不存在时，返回包提示错误。当用户名存在，密码正确和密码错误时，AS-REP的返回包不一样。所以可以利用这点，对域内进行域用户枚举和密码喷洒攻击

域内用户枚举

当主机不在域内时，我们可以通过域内用户枚举来探测域内的用户。我们可以使用nmap指定脚本来探测。

密码喷洒攻击

在实际渗透中，许多渗透测试人员和攻击者通常都会使用一种被称为 密码喷洒（Password Spraying）的攻击手段来进行攻击。对密码进行喷洒式的攻击，这个叫法很形象，因为它属于自动化密码猜测的一种。这种针对所有用户的自动密码猜测通常是为了避免帐户被锁定，因为针对同一个用户的连续密码猜测会导致帐户被锁定。所以只有对所有用户同时执行特定的密码登录尝试，才能增加破解的概率，消除帐户被锁定的概率。普通的爆破就是用户名固定，爆破密码，但是密码喷洒，是用固定的密码去跑用户名。

针对密码喷洒攻击，Github上有一个项目 DomainPasswordSpray 。项目地址关注公众号：xie_sec  ，回复 密码喷洒  即可获得项目链接，或点击阅读原文。

DomainPasswordSpray是用PowerShell编写的工具，用于对域用户执行密码喷洒攻击。默认情况下，它将利用LDAP从域中导出用户列表，然后扣掉被锁定的用户，再用固定密码进行密码喷洒。