密码喷洒

前言

在获取到webshell打通内网隧道之后，就回到了渗透测试的本质信息收集。在常规的企业安全建设中，建设方案一般是外网严内网松，外网部署了各种安全设备内网中弱口令、中间件漏洞一大堆。获取到shell的机器上通过我们收集到的一些账号密码可以对后续的机器进行密码喷洒。

密码喷洒

密码喷洒攻击属于一种自动化攻击的方式，为了避免只针对一个用户进行密码爆破而造成账户锁定，密码喷洒攻击是对所有用户进行爆破，既避免了用户被锁定，同时也提高了用户破解密码的效率。同时，不同于固定用户名对密码进行爆破，密码喷洒攻击是固定密码对用户名进行爆破。

其实上面的解释太过于官方，说白了就是爆破。

信息泄露

通过gitlab未授权获取到一些账号密码。

突破边界

同一网段shiro反序列化注入内存🐎，发现隔离网段192.168.21.x/24

搭建隧道

FRP搭建SOCKS5代理+Proxifier全局代理

FSCAN

192.168.21.130:80 open
192.168.21.80:8080 open
192.168.21.191:135 open
D:445 open
192.168.21.191:445 open
192.168.21.130:445 open
192.168.21.73:445 open
192.168.21.80:445 open
192.168.21.55:445 open
192.168.21.27:445 open
192.168.21.130:135 open
192.168.21.191:139 open
192.168.21.172:139 open
192.168.21.130:139 open
192.168.21.73:139 open
192.168.21.69:139 open
192.168.21.80:139 open
192.168.21.55:139 open
192.168.21.27:139 open
192.168.21.73:135 open
192.168.21.172:135 open
192.168.21.69:445 open
192.168.21.80:135 open
192.168.21.55:135 open
192.168.21.69:135 open
192.168.21.27:135 open
192.168.21.27:88 open
192.168.21.73:7680 open
[+] NetInfo:
[*]192.168.21.172
   [->]wdwork2
   [->]192.168.21.172
[+] NetInfo:
[*]192.168.21.130
   [->]zentao
   [->]192.168.21.130
[+] NetInfo:
[*]192.168.21.191
   [->]wdwork3
   [->]192.168.21.191
[+] NetInfo:
[*]192.168.21.69
   [->]wdwork5
   [->]192.168.21.69
[+] NetInfo:
[*]192.168.21.55
   [->]wdwork1
   [->]192.168.21.55
[+] NetInfo:
[*]192.168.21.27
   [->]DC
   [->]192.168.21.27
[*] 192.168.21.27  (Windows Server 2012 R2 Standard 9600)
[+] NetInfo:
[*]192.168.21.73
   [->]wdwork4
   [->]192.168.21.73
[+] 192.168.21.172        MS17-010        (Windows 7 Professional 7601 Service Pack 1)
[+] 192.168.21.55        MS17-010        (Windows 7 Professional 7601 Service Pack 1)
[+] 192.168.21.191        MS17-010        (Windows 7 Ultimate 7601 Service Pack 1)
[*] 192.168.21.191       WDMHOUT\WDWORK3           Windows 7 Ultimate 7601 Service Pack 1
[*] 192.168.21.172       __MSBROWSE__\WDWORK2           Windows 7 Professional 7601 Service Pack 1
[*] 192.168.21.130       WDMHOUT\ZENTAO            Windows Server 2012 R2 Standard 96080
[*] 192.168.21.27  [+]DC WDMHOUT\DC                Windows Server 2012 R2 Standard 9600
[+] NetInfo:
[*]192.168.21.80
   [->]ftweb
   [->]192.168.21.80
[*] 192.168.21.55        WDMHOUT\WDWORK1           Windows 7 Professional 7601 Service Pack 1
[*] 192.168.21.73  (Windows 10 Pro 16299)
[*] WebTitle:http://192.168.21.80:8080 code:200 len:154    title:login
[*] 192.168.21.80        WDMHOUT\FTPWEB            Windows Server 2008 R2 Enterprise 7601 Service Pack 1
[*] 192.168.21.80  (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)


  

 

  
 
 

  
1
  
2
  
3
  
4
  
5
  
6
  
7
  
8
  
9
  
10
  
11
  
12
  
13
  
14
  
15
  
16
  
17
  
18
  
19
  
20
  
21
  
22
  
23
  
24
  
25
  
26
  
27
  
28
  
29
  
30
  
31
  
32
  
33
  
34
  
35
  
36
  
37
  
38
  
39
  
40
  
41
  
42
  
43
  
44
  
45
  
46
  
47
  
48
  
49
  
50
  
51
  
52
  
53
  
54
  
55
  
56
  
57
  
58
  
59
  
60
  
61
  
62
  
63
  
64
  
65
  
66
  
67
  
68
  
69
  
70
  
71
  
72
  
73
  
74
 

扫描结果中发现一堆Windows机器，并且扫描到有DC。

喷洒实例

密码本-通过前期信息收集整理得到的

ErpBack@2021..
Wdmh@Test123
wangdi@123
wangdi@123..
Wangdi.com@123
Wangdi.com@123..
Zhangdi@123
Wangwei@123
Zhangjie@123
Zhangsan@123
Lisisi@123
Wdmh@Work123
Wdmh@Test123
CRM@2021..
Wangdi.com@Zentao123
Wdmh@creat2021..
wangdi@123
wangdi@123..
Wangdi.com@123
Wangdi.com@123..
Zhangdi@123
Wangwei@123
Zhangjie@123
Zhangsan@123
Lisisi@123
wdmh@123
Wangdi.com@CRM123
Wdmh@creat2021..
CRM@2021..
MH@2021..
PH1@2021..
ERP@2021..
Wdmh@work2021..
Zhangzq@WdmhB123
WDMHINTRA@2021..
wdmhintra.com@2021..
wdmhintra.com@123.
Wangdi.com@Zentao123
zhangdi@123
Wangwei@123
wangwei@123
zhangjie@123
Zhangjie@123
Zhangsan@123
zhangsan@123
Lisisi@123
lisisi@123
Zhangsan@2021..
lisisi@2021..
wangdi@123
wangdi@123..
Wangdi.com@123
Wangdi.com@123..
Zhangzq@123
Wdmh@creat2021..
Zhangdi@123
Wangwei@123
Zhangjie@123
Zhangsan@123
Lisisi@123
Wdmh@Work123
Wdmh@Test123
CRM@2021..
Wangdi.com@Zentao123
Wdmh@creat2021..
wangdi@123
wangdi@123..
Wangdi.com@123
Wangdi.com@123..
Zhangdi@123
Wangwei@123
Zhangjie@123
Zhangsan@123
Lisisi@123
wdmh@123
Wangdi.com@CRM123
Wdmh@creat2021..
CRM@2021..
MH@2021..
PH1@2021..
ERP@2021..
Wdmh@work2021..
Zhangzq@WdmhB123
WDMHINTRA@2021..
wdmhintra.com@2021..
wdmhintra.com@123.
Wangdi.com@Zentao123


  

 

  
 
 

  
1
  
2
  
3
  
4
  
5
  
6
  
7
  
8
  
9
  
10
  
11
  
12
  
13
  
14
  
15
  
16
  
17
  
18
  
19
  
20
  
21
  
22
  
23
  
24
  
25
  
26
  
27
  
28
  
29
  
30
  
31
  
32
  
33
  
34
  
35
  
36
  
37
  
38
  
39
  
40
  
41
  
42
  
43
  
44
  
45
  
46
  
47
  
48
  
49
  
50
  
51
  
52
  
53
  
54
  
55
  
56
  
57
  
58
  
59
  
60
  
61
  
62
  
63
  
64
  
65
  
66
  
67
  
68
  
69
  
70
  
71
  
72
  
73
  
74
  
75
  
76
  
77
  
78
  
79
  
80
  
81
  
82
  
83
  
84
  
85
  
86
  
87
  
88
 

喷洒工具推荐-超级弱口令

将信息收集到的账号密码导入到工具中食用

喷洒协议

一般对SSH、RDP、SMB进行爆破，为什么要爆破这几个协议。

SSH：直接获取主机权限

RDP：远程登录到这台机器

SMP：横向移动

喷洒结果

192.168.21.55
口令复用

RDP——WDWORK3\wdwork----Wdmh\@Work123

192.168.21.55----SMB----445----WDWORK3\wdwork----Wdmh\@Work123

  

 

  
1
  
2
  
3
 

192.168.21.130

RDP----3389----administrator----Wangdi.com@123

SMB----445----WDWORK1\administrator----Wangdi.com@123

  

 

  
1
  
2
  
3
 

总结

1、密码本来源途径（信息泄露、翻配置文件、翻回收站、桌面账号密码本、mimikatz抓到的）

2、喷洒的时候工具尽量放到内网机器上面，本地使用工具的线程过高流量过大会导致隧道崩掉

3、喷洒时可以针对一个C段进行，这样能爆出来的机器会有很多

4、内网渗透中，能获取到主机管理员账号密码，将会使我们横向事半功倍，尤其是在大内网环境中，密码复用率很高，一波喷洒，能助力你拿到一波主机，对拿到的主机再次抓取密码，再用新拿到的密码喷洒一波…，如此反复。当然密码的获取还可以通过翻一些敏感文件，运气好的话，有时桌面就会有账号密码.txt这样的文件。密码喷洒的思路就是这样：不断收集内网账号密码，不断去喷洒，可以针对135,139,445,3389,22,1433,3306,1521等端口进行喷洒。相关工具fscan，超级弱口令等，当然也有其他工具，工具使用看个人使用顺手即可。

文章来源: libai.blog.csdn.net，作者：李白你好，版权归原作者所有，如需转载，请联系作者。

原文链接：libai.blog.csdn.net/article/details/126830996