从密码喷洒双因素认证的微软Web应用门户中学到了什么？

答案： 足够让它值得一试！

渗透测试人员喜欢对公开可用的电子邮件门户执行密码喷洒攻击，正如Beau Bullock在这篇精彩文章中所述。最近，我对一个启用了微软多因素认证（MFA）的Outlook Web App门户进行了密码喷洒攻击。登录页面看起来相同，但服务器响应揭示了一些非常有趣的信息。

Outlook Web App登录

在对这个启用双因素认证的门户进行密码喷洒时，我能够了解到两个重要信息：

在BHIS，我们通过经验了解到，当提供有效用户名时，服务器响应时间比提供无效用户名时快得多（感谢Brian Ferhman的工作让我们学到了很多）。下面的截图显示了有效和无效用户名的响应时间示例。

我们使用Burp Intruder工具进行密码喷洒。您可以通过在结果表视图中打开“Response Completed”列来查看响应时间。

酷！我们刚刚构建了一个有效的用户名列表，这在测试后期会派上用场。

下一个超级酷的事情是，我们可以了解到猜测的密码是否对用户正确。等等，什么？您说启用了双因素认证！请继续阅读…

微软多因素认证（MFA）要求用户在授予资源访问权限之前确认电话呼叫或短信。输入正确凭据后，服务器会等待用户验证尝试（例如，通过按下接收到的电话呼叫中的“#”键）。从安全角度来看，这很棒；然而，微软在其对有效凭据的服务器响应中仍然泄露了密码是否正确。响应只有轻微差异，但足够了，如下所示。

无效凭据的登录响应

这有多酷？现在我们有了有效的用户名和密码，可以在其他地方使用。如果我们成功了，我们还可能给一些用户发送了未经请求的短信或电话呼叫，所以要小心！

您可以从Carrie的课程中学到更多！ 查看这里：