Question

一旦进入网络，我们就可以使用 Responder 工具获取凭证或 Shell，但有时也会出现这种情况 - 目标启用 SMB 签名并且破解 NTLMv2 SSP 不可行。此时，我们可退后一步，从基本的攻击方式开始。在无法主动扫描网络的情况下，我们需要获得一个用户列表（可能是密码喷射甚至社会工程）。

一种选择是开始针对域控制器枚举用户。从历史上看（早在 2003 年），我们可以尝试执行 RID 循环以获取所有用户账户的列表。虽然这种方法已经不可用，但还有其他选项可用于暴力破解账户。另一种选择是利用 Kerberos，如图 4.8 所示。

• nmap -p88 --script krb5-enum-users --script-args krb5-enum-users.realm= "cyberspacekittens. local",userdb=/opt/userlist.txt<Domain Controller IP>。

图 4.8

我们需要提供一个测试的用户名列表，但是由于只是查询域控制器并且不对其进行身份鉴权，因此这个操作通常不会被发现。现在，我们可以使用这些用户账户并再次进行密码喷射攻击！