Kerberos 用户名枚举-前500个常见用户名称

Kerberos 用户名枚举–用户名字典

我一直很愉快的在内网渗透中使用metasploit的auxiliary/gather/kerberos_enumusers模块, 但这需要提供一个质量良好的用户名字典。

在最近的一次渗透中, 只使用前50个常见的男女用户名字典, 我可以从400个可能性中猜到70域帐户，理所当然的其中有好几个都是弱口令。

我看到的大多数域都倾向于利用某种形式的名字, 即域名用户用户名的姓氏组合。例如:

[名字].[姓氏]例如JACK.SMITH

[名字, 第一个字母].[姓氏]例如J.SMITH

为此, 我创建了一些用户名字典, 它们可能在针对大型 Windows 域时识别有效的用户名称。字典是根据联合王国国家统计局 (ONS)的前500个最常见的名字和姓氏编制的。

最初, 您需要运行辅助工具如Responder它将帮助您确定目标环境中用户名使用形式是哪种格式。实际上, 我通常在后台使用Responder进行用户名枚举。

一旦确定了格式并假定该格式在整个域中普遍使用, Kerberos 用户名枚举就可以开始了。

我创建的用户名字典可以在下表中看到。我还包括了原始的名字和姓氏列表以便您按需创建一个自定义的字典:

注: 所有用户名字典(名字a. 姓氏到名字z 姓氏) 都可以从以下网址下载: https://github.com/attackdebris/kerberos_enum_userlists

攻击演练

现在, 我将遍历整个攻击过程:

最初, 我们需要先给msf的auxiliary/gather/kerberos_enumusers模块配置上我们的字典：

随后我们运行该模块。我们显然会收到许多账号不存在的报错但它无关紧要：

运行“creds以显示所以成功获取到的用户名列表：

最后一步是利用msf的auxiliary/scanner/smb/smb_login模块来确定收集到的帐户中是否有使用弱密码的：

显然, 在尝试猜测密码时, 应考虑域的帐户锁定策略。一个明智的方法是一次尝试一个密码, 限制自己猜测两次(系统设置为锁定后3无效尝试) 或猜测四次(系统设置为锁定5无效尝试后) 每30分钟对一个帐户。30分钟是典型的 “lockout observation window”。

msf的auxiliary/scanner/smb/smb_login模块有"ABORT_ON_LOCKOUT" 选项, 就可以轻松地防止进行太多猜解。