问题：通过对启用2FA的微软Web应用门户进行密码喷洒能学到什么？

作者：Carrie Roberts

答案： 值得一试！

渗透测试人员喜欢对公开可用的电子邮件门户进行密码喷洒攻击，正如Beau Bullock的优秀文章所述。最近，我对一个启用Microsoft MFA多因素认证的Outlook Web App门户进行了密码喷洒。登录页面看起来相同，但服务器响应透露了一些非常有趣的信息。

Outlook Web App登录

在对这个启用双因素认证的门户进行密码喷洒时，我能够了解到两个重要信息：

在BHIS，我们通过经验了解到，当提供有效用户名时，服务器响应时间比提供无效用户名时快得多（非常感谢Brian Ferhman的工作让我们学到了这一点）。下图显示了有效和无效用户名的响应时间示例。

我们使用Burp Intruder工具进行密码喷洒。您可以通过在结果表视图中开启“Response Completed”列来查看响应时间。

酷！我们刚刚构建了一个有效的用户名列表，这在测试的后期会派上用场。

下一个超级酷的事情是，我们可以了解到猜测的密码对用户是否正确。等等，什么？您说启用了双因素认证！请继续阅读…

Microsoft多因素认证（MFA）要求用户在授予资源访问权限之前确认电话呼叫或短信。输入正确的凭据后，服务器等待用户验证尝试（例如，通过按下接收到的电话呼叫中的“#”键）。从安全角度来看，这很棒；然而，Microsoft仍然在其服务器响应中泄露密码是否正确。响应仅略有不同，但足够了，如下所示。

无效凭据的登录响应

这有多酷？现在我们有了有效的用户名和密码，可以在其他地方使用。如果我们成功了，我们还可能给一些用户发送了未经请求的短信或电话呼叫，所以要小心！

您可以在Carrie的课程中了解更多！
查看这里：

返回顶部

Black Hills Information Security, Inc.
890 Lazelle Street, Sturgis, SD 57785-1611 | 701-484-BHIS (2447)
© 2008-2024
关于我们 | BHIS部落公司 | 隐私政策 | 联系

链接
搜索网站