Password Spraying / Brute Force

密码喷洒

一旦您找到了几个有效的用户名，您可以尝试使用每个发现的用户的最常见密码（请记住环境的密码策略）。 默认情况下，密码的最小长度为7。

常见用户名列表也可能会有用：https://github.com/insidetrust/statistically-likely-usernames

请注意，如果您尝试多次输入错误密码，可能会锁定某些帐户（默认情况下超过10次）。

获取密码策略

如果您有一些用户凭据或作为域用户的shell，您可以使用以下方法获取密码策略：

# From Linux
crackmapexec <IP> -u 'user' -p 'password' --pass-pol

enum4linux -u 'username' -p 'password' -P <IP>

rpcclient -U "" -N 10.10.10.10;
rpcclient $>querydominfo

ldapsearch -h 10.10.10.10 -x -b "DC=DOMAIN_NAME,DC=LOCAL" -s sub "*" | grep -m 1 -B 10 pwdHistoryLength

# From Windows
net accounts

(Get-DomainPolicy)."SystemAccess" #From powerview

从Linux（或所有）进行利用

• 使用 crackmapexec:

• 使用 kerbrute（Go）

• spray (您可以指定尝试次数以避免锁定):

• 使用 kerbrute（python）- 有时不推荐使用，可能无法正常工作

• 使用 Metasploit 的 scanner/smb/smb_login 模块：

• 使用 rpcclient：

从Windows

• 使用Rubeus带有brute模块的版本：

• 使用Invoke-DomainPasswordSpray（默认情况下，它可以生成域中的用户，并从域中获取密码策略，并根据策略限制尝试次数）:

• 使用Invoke-SprayEmptyPassword.ps1

暴力破解

```bash legba kerberos --target 127.0.0.1 --username admin --password wordlists/passwords.txt --kerberos-realm example.org ``` ## Outlook Web Access

有多种工具可用于进行Outlook密码喷洒攻击。

• 使用MSF Owa_login

• 使用MSF Owa_ews_login

• 使用Ruler（可靠！）

• 使用DomainPasswordSpray（Powershell）

• 使用MailSniper（Powershell）

要使用这些工具之一，您需要一个用户列表和一个密码/一个小密码列表进行喷洒。

谷歌

• https://github.com/ustayready/CredKing/blob/master/credking.py

Okta

• https://github.com/ustayready/CredKing/blob/master/credking.py

• https://github.com/Rhynorater/Okta-Password-Sprayer

• https://github.com/knavesec/CredMaster

参考资料

• https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/active-directory-password-spraying

• https://www.ired.team/offensive-security/initial-access/password-spraying-outlook-web-access-remote-shell

• www.blackhillsinfosec.com/?p=5296

• https://hunter2.gitbook.io/darthsidious/initial-access/password-spraying