利用个人账户密码重复问题获取域凭证:无需接入目标网络的攻击方法(第一部分)
作者:Beau Bullock
在本系列文章中,我将详细介绍无需接入目标组织网络即可获取域用户凭证的多种方法。第一部分重点探讨如何利用员工在个人账户重复使用企业密码的行为;第二部分将介绍通过发现目标组织的用户名架构,并对外部服务(如Outlook Web Access门户)实施密码喷洒攻击的更复杂技术。
本文不涉及便利贴密码问题
个人账户的凭证重用现象
用户在多个网络服务中重复使用相同密码是普遍存在的安全隐患。当某个网站遭到入侵时,若员工在个人账户和企业账户使用相同密码,攻击者获取个人凭证后即可间接获得企业账户访问权限。
突破传统分析思路
常规的凭证泄露分析通常仅关注目标组织拥有的域名。更有效的方法是尝试定位企业员工在第三方服务中泄露的个人账户。当目标组织本身提供个人账户服务时(如Google员工可能拥有gmail.com账户),这种关联会变得更容易。
实战案例:从5万条泄露数据中定位员工凭证
在一次测试中,作者通过Pwnedlist.com发现目标组织的客户域名存在超过50,000个近期泄露账户。通过与组织沟通,确认员工可能使用这些"技术上的个人账户"。
关键步骤:
- 使用Pipl.com搜索引擎关联泄露邮箱与员工身份
- 通过Burp Suite Intruder批量提交50,000个邮箱
- 筛选包含目标公司名称的"Career"字段
- 最终定位到252个疑似员工个人账户
凭证转换与验证
通过侦察获取企业邮箱命名规则(如firstname.lastname@格式)后:
- 将个人账户信息转换为企业邮箱格式
- 使用泄露的密码尝试登录企业外部门户(如OWA)
- 成功访问重复使用密码的员工企业邮箱
攻击流程总结
- 通过Pwnedlist等平台收集目标组织关联的个人账户泄露凭证
- 使用Pipl验证账户持有人的雇主信息
- 根据企业邮箱规则转换个人账户信息
- 尝试凭证重用攻击
防御建议
推行密码管理工具,杜绝员工在多平台重复使用密码的行为。
下篇将详细介绍如何通过发现用户名架构实施密码喷洒攻击。点击此处阅读第二部分