问题:通过对启用双因素认证的Microsoft Web应用门户进行密码喷洒攻击,我能学到什么?
答案:足够让你觉得值得一试!
渗透测试人员喜欢对公开可用的电子邮件门户进行密码喷洒攻击,正如Beau Bullock在这篇精彩文章中所描述的那样。最近,我对一个启用了Microsoft多因素认证(MFA)的Outlook Web App门户进行了密码喷洒攻击。登录页面看起来相同,但服务器响应揭示了一些非常有趣的信息。
Outlook Web App登录
当我对这个启用双因素认证的门户进行密码喷洒时,我能够了解到两个重要信息:
- 用户名是否有效或无效(即用户名枚举)
- 对于给定用户名,密码是否正确(即使访问未被授予)
在BHIS,我们通过经验了解到,当提供有效用户名时,服务器响应时间比提供无效用户名时快得多(非常感谢Brian Ferhman的工作让我们学到了这么多)。下面的截图显示了有效和无效用户名的响应时间示例。
用户名枚举
我们使用Burp Intruder工具进行密码喷洒。您可以通过在结果表视图中打开“Response Completed”列来查看响应时间。
**酷!**我们刚刚构建了一个有效用户名列表,这在测试的后期可能会派上用场。
下一个超级酷的事情是,我们可以了解到我们猜测的密码对用户是否正确。等等,什么?你说启用了双因素认证!请继续阅读…
Microsoft多因素认证(MFA)要求用户在授予资源访问权限之前确认电话呼叫或短信。输入正确的凭据后,服务器等待用户验证尝试(例如,通过按下他们收到的电话呼叫中的“#”)。从安全角度来看,这很棒;然而,Microsoft仍然在其对有效凭据的服务器响应中泄露了密码是否正确。响应只有轻微的不同,但这已经足够了,如下所示。
响应包含“auth.owa”当密码正确时
无效凭据的登录响应
这有多酷?现在我们有了有效的用户名和密码,可以在其他地方使用。如果我们成功了,我们还导致了一些用户收到未经请求的短信或电话呼叫,所以要小心!
您可以从Carrie的课程中学到更多! 在这里查看它们: 攻击模拟工具:Atomic Red Team、CALDERA等 PowerShell for InfoSec 提供实时/虚拟和点播课程!