Password Spraying / Brute Force
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Deepen your expertise in Mobile Security with 8kSec Academy. Master iOS and Android security through our self-paced courses and get certified:
Una vez que hayas encontrado varios nombres de usuario válidos, puedes probar las contraseñas más comunes (ten en cuenta la política de contraseñas del entorno) con cada uno de los usuarios descubiertos. Por defecto, la longitud mínima de la contraseña es 7.
Las listas de nombres de usuario comunes también podrían ser útiles: https://github.com/insidetrust/statistically-likely-usernames
Ten en cuenta que podrías bloquear algunas cuentas si intentas varias contraseñas incorrectas (por defecto más de 10).
Si tienes algunas credenciales de usuario o una shell como usuario de dominio, puedes obtener la política de contraseñas con:
Usando crackmapexec:
Usando kerbrute (Go)
spray (puedes indicar el número de intentos para evitar bloqueos):
Usando kerbrute (python) - NO RECOMENDADO A VECES NO FUNCIONA
Con el módulo scanner/smb/smb_login
de Metasploit:
Usando rpcclient:
Con la versión de Rubeus con el módulo de fuerza bruta:
Con Invoke-DomainPasswordSpray (Puede generar usuarios del dominio por defecto y obtendrá la política de contraseñas del dominio y limitará los intentos de acuerdo a ella):
Hay múltiples herramientas para password spraying outlook.
Con MSF Owa_login
Con Ruler (¡fiable!)
Con DomainPasswordSpray (Powershell)
Con MailSniper (Powershell)
Para usar cualquiera de estas herramientas, necesitas una lista de usuarios y una contraseña / una pequeña lista de contraseñas para spray.
Profundiza tu experiencia en Seguridad Móvil con 8kSec Academy. Domina la seguridad de iOS y Android a través de nuestros cursos autoguiados y obtén certificación:
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)