域内用户名枚举可以在无域内有效凭据的情况下,枚举出域内存在的用户名,进而对域内存在的用户名进行密码喷洒攻击,以此来过的域内有效凭据
在Kerberos协议认证的AS-REQ阶段,请求包cname对应的值是用户名,当用户名存在、用户存在但禁用、用户不存在时,AS-REP返回包状态不同。所以可以利用这点,对目标域进行域用户枚举。
| AS-REP | Kerberos错误信息回复包状态 |
|---|---|
| 用户存在 | KDC_ERR_PREAUTH_REQUIRED (需要额外的预认证) |
| 用户存在但禁用 | KDC_ERR_CLIENT_REVOKED NT Status: STATUS_ACCOUNT_DISABLED (用户状态不可用) |
| 用户不存在 | KDC_ERR_C_PRINCIPAL_UNKNOWN (找不到此用户) |
域内用户名枚举工具
当攻击者不在域内的时候,可以通过域内用户枚举来枚举出域内存在的用户。
1、kerbrute
- 项目地址:https://github.com/ropnop/kerbrute
- 一款使用go语言编写的域用户枚举和密码喷洒工具,该工具域用户枚举命令如下:
./kerbrute_darwin_amd64 userenum --dc 192.168.1.1 -d test.com user.txt
- 参数含义如下:
- userenum:用户枚举模式
- –dc:指定域控 ip
- -d:指定域名
- user.txt:用户名字典文件,里面的字典可不加域名后缀
2、pyKerbrute
- 项目地址:https://github.com/3gstudent/pyKerbrute
- 一款使用Python编写的域用户名枚举和密码喷洒脚本。其可以通过tcp和udp两种模式进行工作,user.txt用户名文件格式不需要加后缀格式。
#tcp模式
python2 EnumADUser.py 192.168.1.1 text.com user.txt tcp
#udp模式
python2 EnumADUser.py 192.168.1.1 test.com user.txt udp
3、MSF模块
也可以使用MSF下的auxiliary/gather/kerberos_enumusers模块进行域用户枚举。
use auxiliary/gather/kerberos_enumusers
set domain test.com
set rhosts 192.168.1.1
set user_file /opt/user.txt
run
域内用户枚举攻击防御
由于域用户枚举是用过发送大量的AS-REQ请求包,根据返回包的内容筛选出存在的域用户。因此可以通过以下方法进行检测。
- 流量层面的话,可以通过检测同一IP地址在短时间内是否发送了大量的AS-REQ请求包来判断。如果同一IP短时间内发送的大量的AS-REQ请求包(如1分钟>30 AS-REQ包),则可判断为异常。
- 日志层面的话,默认情况下域用户枚举并不会对不存在的用户名发起AS-REQ请求包产生任何事件日志,因此日志层面不太好检测。
默认情况下Windows系统的日志并不会记录对不存在用户名发起的AS-REQ请求包的日志。如果想开启此记录,需要去组策略中配置审核策略和高级审核策略。并且日志的记录还和通信的KDC有关,如果域中存在多个域控,则不同域控上记录的日志并不相同,并不是每个KDC上都会记录所有的日志。
