01 项目地址
https://github.com/knavesec/CredMaster
02 项目介绍
通过 Amazon AWS 直通代理启动密码喷射/暴力连接,为每次身份验证尝试更改请求的 IP 地址。这会动态创建 FireProx API,以实现更具规避性的密码喷射。
优点和特点
为每个请求轮换请求 IP 地址
自动生成代理通路的 API
欺骗 API 跟踪号码、转发 IP 和其他代理跟踪标头 = 完全匿名
通过配置文件轻松配置
多线程处理
密码延迟计数器和规避锁定策略的配置
轻松添加新插件
彩色输出
Keybase、Slack、Discord、Teams 和 Pushover 的通知系统
WeekdayWarrior设置定时喷洒和 SOC 规避
使用方法
目前支持以下插件:
OWA -Outlook Web 访问
--plugin owa
EWS-交换网络服务
--plugin ews
O365 -Office365
--plugin o365
ADFS - Active Directory 联合服务
--plugin adfs
O365Enum - Office365 用户枚举(无身份验证请求)
--plugin o365enum
MSOL - 微软在线
--plugin msol
MSGraph - MSGraph 模块,用于 azure 和 MSOL 凭据的 msgraph 喷射点
--plugin msgraph
AzureSSO - Azure AD 无缝 SSO 端点
--plugin azuresso
AzVault - AzVault 模块,Azure 喷射点与 MSOL/AzureSSO 不同
--plugin azvault
Okta - Okta 身份验证门户
--plugin okta
FortinetVPN - Fortinet VPN 客户端
--plugin fortinetvpn
HTTPBrute - 通用 HTTP 暴力方法(基本/摘要/NTLM)
--plugin httpbrute
GMailEnum - GSuite/Gmail 枚举
--plugin gmailenum
使用示例:
python3 credmaster.py --plugin {pluginname} --access_key {key} --secret_access_key {key} -u userfile -p passwordfile -a useragentfile {otherargs}
或者
python3 credmaster.py --config config.json
注:工具仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。
原文始发于微信公众号(GSDK安全团队):密码喷洒工具 - CredMaster
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论