Чтобы организовать успешную атаку с использованием паролей, нам сначала нужен список действительных пользователей домена для попытки аутентификации. Есть несколько способов, которыми мы можем собрать целевой список действительных пользователей:
Kerbrute для проверки пользователей, используя список слов из источника, такого как репозиторий статистически вероятных имен пользователей на GitHub, или собранный с помощью такого инструмента, как linkedin2username для создания списка потенциально допустимых пользователейResponder или даже успешное распыление пароля с использованием списка слов.Независимо от того, какой метод мы выберем, для нас также жизненно важно учитывать политику паролей домена. Если у нас есть нулевой сеанс SMB, анонимная привязка LDAP или набор действительных учетных данных, мы можем узнать политику паролей. Иметь в виду эту политику очень полезно, потому что минимальная длина пароля и то, включена ли сложность пароля или нет, может помочь нам составить список паролей, которые мы попробуем использовать в наших попытках spray. Зная порог блокировки учетной записи и таймер неверного пароля, мы узнаем, сколько попыток распыления мы можем выполнить одновременно, не блокируя ни одной учетной записи, и сколько минут мы должны ждать между попытками распыления.
Опять же, если мы не знаем правил использования паролей, мы всегда можем спросить нашего клиента, и, если он не предоставит их, мы можем либо попробовать одну очень целенаправленную попытку использования пароля в качестве "аве Мария", если все другие варианты поддержки были исчерпаны. Мы также могли бы использовать один спрей каждые несколько часов, чтобы не блокировать какие-либо учетные записи. Независимо от выбранного нами метода и от того, соблюдаем мы политику паролей или нет, мы всегда должны вести журнал наших действий, включая, но не ограничиваясь:
Это поможет нам гарантировать, что мы не будем дублировать усилия. Если произойдет блокировка учетной записи или наш клиент заметит подозрительные попытки входа в систему, мы можем предоставить ему наши заметки, чтобы он перепроверил их системы ведения журнала и убедился, что в сети не происходит ничего вредоносного.
Если вы находитесь на внутреннем компьютере, но у вас нет действительных учетных данных домена, вы можете поискать нулевые сеансы SMB или анонимные привязки LDAP на контроллерах домена. Любой из этих способов позволит вам получить точный список всех пользователей в Active Directory и политику паролей. Если у вас уже есть учетные данные для пользователя домена или системный доступ на хост Windows, вы можете легко запросить эту информацию в Active Directory.
Это возможно сделать с помощью СИСТЕМНОЙ учетной записи, потому что она может выдавать пользователя за компьютер. Объект computer обрабатывается как учетная запись пользователя домена (с некоторыми отличиями, такими как аутентификация в доверительных лесах). Если у вас нет действительной учетной записи в домене, а сеансы SMB с нулевым значением и анонимные привязки LDAP невозможны, вы можете создать список пользователей, используя внешние ресурсы, такие как сбор данных электронной почты и LinkedIn. Этот список пользователей будет не таким полным, но его может быть достаточно, чтобы предоставить вам доступ к Active Directory.