Password Spraying
برای جلوگیری از قفل شدن حساب در هنگام انجام حدس زدن رمز عبور، برخی از مهاجمان روش دیگری را برای تست گذرواژههای حدس زده خود استفاده میکنند که به آن Password Spraying میگویند. با استفاده از این تکنیک، به جای تلاش برای تست تعداد زیادی از کلمات عبور برای تعداد کمی از نامهای کاربری که یک روش سنتی برای حدس کلمات عبور میباشد، نفوذگران یک کلمه عبور که با تکنیکهای مختلف حدس زدهاند را بر روی تمام سیستمها تست مینمایند.
به عنوان مثال، مهاجم ممکن است با یک لیست از چهار کلمه عبور حمله خود را آغاز نموده و هر یک از این کلمات عبور را برای یک هزار یا تعداد بیشتری حساب کاربری امتحان نماید. پس از آنکه کنترل کننده زمان برای کلمه عبور اشتباه، به پایان میرسد(Account lockout duration)، مهاجم چهار کلمه عبور دیگر را امتحان میکند. (در این مورد بستگی دارد که گزینه مربوط به Account lockout threshold در چه تعداد ورود اشتباه حساب کاربری را قفل مینماید.)
لازم به ذکر است، نامهای شهر که سازمان در آن قرار دارد، نام شرکت، نام محصولات، تیمهای ورزشی محلی و نامهای کاربری گزینههای مناسب و بالقوه ای را برای اسپری کلمه عبور ایجاد میکنند. همچنین، اگر سیاست رمز عبور نیاز به تغییر به صورت سه ماهه داشته باشد، رمزعبور میتواند شامل فصل (بهار، تابستان، زمستان، پاییز) و یا سال باشد.
تغییر رمز عبور به صورت ماهانه هم میتواند موجب شود تا کاربران در کلمه عبور خود از عباراتی مشابه نام ماه مورد نظر یا ترکیب آن با سال، استفاده نمایند. به عنوان مثال یک کلمه عبور میتواند September2017 باشد.
روش Password Spraying به صورت قابل ملاحظه ای استفاده شده و میتواند برای رسیدن به کلمه عبور به شما کمک نماید. یکی از ابزارهایی که در این مرحله مفید میباشد ابزار Hydra است، این ابزار در لینوکس اجرا شده و هم دارای محیط دستوری یا CLI و هم دارای محیط گرافیکی یا GUI میباشد.
شما میتوانید با استفاده از این ابزار کلمات حدس زده خود را داخل یک فایل متنی قرار دهید که در این حالت شما یک دیکشنری از کلمات عبور را در اختیار خواهید داشت. سپس با معرفی این دیکشنری به Hydra اقدام به آزمایش کلمات عبور نمایید.
ابزار Hydra از پروتکلهای مختلفی از جمله FTP، SSH، RDP، SMB و پروتکلهای دیگر پشتیبانی مینماید.
#Password_Spraying
@TryHackBox
برای جلوگیری از قفل شدن حساب در هنگام انجام حدس زدن رمز عبور، برخی از مهاجمان روش دیگری را برای تست گذرواژههای حدس زده خود استفاده میکنند که به آن Password Spraying میگویند. با استفاده از این تکنیک، به جای تلاش برای تست تعداد زیادی از کلمات عبور برای تعداد کمی از نامهای کاربری که یک روش سنتی برای حدس کلمات عبور میباشد، نفوذگران یک کلمه عبور که با تکنیکهای مختلف حدس زدهاند را بر روی تمام سیستمها تست مینمایند.
به عنوان مثال، مهاجم ممکن است با یک لیست از چهار کلمه عبور حمله خود را آغاز نموده و هر یک از این کلمات عبور را برای یک هزار یا تعداد بیشتری حساب کاربری امتحان نماید. پس از آنکه کنترل کننده زمان برای کلمه عبور اشتباه، به پایان میرسد(Account lockout duration)، مهاجم چهار کلمه عبور دیگر را امتحان میکند. (در این مورد بستگی دارد که گزینه مربوط به Account lockout threshold در چه تعداد ورود اشتباه حساب کاربری را قفل مینماید.)
لازم به ذکر است، نامهای شهر که سازمان در آن قرار دارد، نام شرکت، نام محصولات، تیمهای ورزشی محلی و نامهای کاربری گزینههای مناسب و بالقوه ای را برای اسپری کلمه عبور ایجاد میکنند. همچنین، اگر سیاست رمز عبور نیاز به تغییر به صورت سه ماهه داشته باشد، رمزعبور میتواند شامل فصل (بهار، تابستان، زمستان، پاییز) و یا سال باشد.
تغییر رمز عبور به صورت ماهانه هم میتواند موجب شود تا کاربران در کلمه عبور خود از عباراتی مشابه نام ماه مورد نظر یا ترکیب آن با سال، استفاده نمایند. به عنوان مثال یک کلمه عبور میتواند September2017 باشد.
روش Password Spraying به صورت قابل ملاحظه ای استفاده شده و میتواند برای رسیدن به کلمه عبور به شما کمک نماید. یکی از ابزارهایی که در این مرحله مفید میباشد ابزار Hydra است، این ابزار در لینوکس اجرا شده و هم دارای محیط دستوری یا CLI و هم دارای محیط گرافیکی یا GUI میباشد.
شما میتوانید با استفاده از این ابزار کلمات حدس زده خود را داخل یک فایل متنی قرار دهید که در این حالت شما یک دیکشنری از کلمات عبور را در اختیار خواهید داشت. سپس با معرفی این دیکشنری به Hydra اقدام به آزمایش کلمات عبور نمایید.
ابزار Hydra از پروتکلهای مختلفی از جمله FTP، SSH، RDP، SMB و پروتکلهای دیگر پشتیبانی مینماید.
#Password_Spraying
@TryHackBox
👍6