内网安全之域内用户名枚举

域内用户名枚举可以在无域内有效凭据的情况下，枚举出域内存在的用户名，进而对域内存在的用户名进行密码喷洒攻击，以此来过的域内有效凭据
在Kerberos协议认证的AS-REQ阶段，请求包cname对应的值是用户名，当用户名存在、用户存在但禁用、用户不存在时，AS-REP返回包状态不同。所以可以利用这点，对目标域进行域用户枚举。

域内用户名枚举工具

当攻击者不在域内的时候，可以通过域内用户枚举来枚举出域内存在的用户。

1、kerbrute

• 项目地址：https://github.com/ropnop/kerbrute
• 一款使用go语言编写的域用户枚举和密码喷洒工具，该工具域用户枚举命令如下：

./kerbrute_darwin_amd64 userenum --dc 192.168.1.1 -d test.com user.txt
1

• 参数含义如下：
  • userenum:用户枚举模式
  • –dc:指定域控 ip
  • -d:指定域名
  • user.txt:用户名字典文件，里面的字典可不加域名后缀

2、pyKerbrute

• 项目地址：https://github.com/3gstudent/pyKerbrute
• 一款使用Python编写的域用户名枚举和密码喷洒脚本。其可以通过tcp和udp两种模式进行工作，user.txt用户名文件格式不需要加后缀格式。

#tcp模式
python2 EnumADUser.py 192.168.1.1 text.com user.txt tcp

#udp模式
python2 EnumADUser.py 192.168.1.1 test.com user.txt udp

1
2
3
4
5
6

3、MSF模块

也可以使用MSF下的auxiliary/gather/kerberos_enumusers模块进行域用户枚举。

use auxiliary/gather/kerberos_enumusers
set domain test.com
set rhosts 192.168.1.1 
set user_file /opt/user.txt
run
1
2
3
4
5

域内用户枚举攻击防御

由于域用户枚举是用过发送大量的AS-REQ请求包，根据返回包的内容筛选出存在的域用户。因此可以通过以下方法进行检测。

• 流量层面的话，可以通过检测同一IP地址在短时间内是否发送了大量的AS-REQ请求包来判断。如果同一IP短时间内发送的大量的AS-REQ请求包（如1分钟>30 AS-REQ包），则可判断为异常。
• 日志层面的话，默认情况下域用户枚举并不会对不存在的用户名发起AS-REQ请求包产生任何事件日志，因此日志层面不太好检测。

默认情况下Windows系统的日志并不会记录对不存在用户名发起的AS-REQ请求包的日志。如果想开启此记录，需要去组策略中配置审核策略和高级审核策略。并且日志的记录还和通信的KDC有关，如果域中存在多个域控，则不同域控上记录的日志并不相同，并不是每个KDC上都会记录所有的日志。