01 项目地址
https://github.com/knavesec/CredMaster02 项目介绍
通过 Amazon AWS 直通代理启动密码喷射/暴力连接,为每次身份验证尝试更改请求的 IP 地址。这会动态创建 FireProx API,以实现更具规避性的密码喷射。
优点和特点
为每个请求轮换请求 IP 地址自动生成代理通路的 API欺骗 API 跟踪号码、转发 IP 和其他代理跟踪标头 = 完全匿名通过配置文件轻松配置多线程处理密码延迟计数器和规避锁定策略的配置轻松添加新插件彩色输出Keybase、Slack、Discord、Teams 和 Pushover 的通知系统WeekdayWarrior设置定时喷洒和 SOC 规避
使用方法
目前支持以下插件:OWA -Outlook Web 访问--plugin owaEWS-交换网络服务--plugin ewsO365 -Office365--plugin o365ADFS - Active Directory 联合服务--plugin adfsO365Enum - Office365 用户枚举(无身份验证请求)--plugin o365enumMSOL - 微软在线--plugin msolMSGraph - MSGraph 模块,用于 azure 和 MSOL 凭据的 msgraph 喷射点--plugin msgraphAzureSSO - Azure AD 无缝 SSO 端点--plugin azuressoAzVault - AzVault 模块,Azure 喷射点与 MSOL/AzureSSO 不同--plugin azvaultOkta - Okta 身份验证门户--plugin oktaFortinetVPN - Fortinet VPN 客户端--plugin fortinetvpnHTTPBrute - 通用 HTTP 暴力方法(基本/摘要/NTLM)--plugin httpbruteGMailEnum - GSuite/Gmail 枚举--plugin gmailenum
使用示例:
python3 credmaster.py --plugin {pluginname} --access_key {key} --secret_access_key {key} -u userfile -p passwordfile -a useragentfile {otherargs}或者python3 credmaster.py --config config.json
注:工具仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。
原文始发于微信公众号(GSDK安全团队):密码喷洒工具 - CredMaster
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论