Estimados amigos de Inseguros!!!
Un de las primeras cosas que debemos mirar a la hora de auditar nuestras infraestructuras es la calidad de las contraseñas, de nuestros empleados o clientes. Realizar una campaña de fuerza bruta con algunas passwords conocidas, relacionadas con el negocio, no me parece una mala idea.
Existen distintas aplicaciones con las que podemos acometer esta misión, pero Azure implementa un mecanismo denominado Smart Lockout que va a detectar los intentos de inicio de sesión fallidos y nos va a bloquear.
Teniendo como objetivo saltarnos esta medida, vamos a usar algo ya conocido, y es el uso de proxys para repartir las peticiones y así hacer más dificíl a los sistemas defensivos la detección.
Lo vamos a realizar con la herramienta TrevorSpray. Lo que me gusta de este proyecto es que el autor ha publicado aparte el componente proxy, por lo que mediante proxychains, como hacemos con TOR, podemos usar los nodos para tirar cualquier comando, pero vamos a centrarnos en la fuerza bruta...
Las instrucciones son muy sencillas:
pip install git+https://github.com/blacklanternsecurity/trevorproxy pip install git+https://github.com/blacklanternsecurity/trevorspray
export PATH=$PATH:/home/kinomakino/.local/bin
Como con cualquier otra herramienta, le damos un vistazo a las opciones. Me gusta indicar que no haga intentos de bypass del MFA, ya que podría generar mucho ruido. En esta fase nos centramos en obtener credenciales válidas, ya veremos luego como las explotamos.
Un comando sencillo podría ser: trevorspray -u lista_de_usuarios -p 'Password' -nl
Ahora bien, tiramos la herramienta, y lo que suele pasar es que los filtros Smart Lockout nos cazen y empiece a decirnos que las cuentas están bloqueadas
Gracias por leerme !!!