MSSpray 使用手册

MSSpray 使用手册

msspray Password attacks and MFA validation against various endpoints in Azure and Office 365 项目地址: https://gitcode.com/gh_mirrors/ms/msspray

---

项目概述

MSSpray 是一个安全研究工具，专注于对 Azure AD 和 Office 365 的不同端点执行密码喷洒攻击，并验证这些服务上的多因素认证(MFA)实施情况。它由 SecurityRiskAdvisors 开发并维护至某个时间点，之后被归档。请注意，这个项目已不再活跃发展。

---

1. 目录结构及介绍

MSSpray 的目录结构简洁明了，以下是其基本布局：

• CHANGELOG.txt: 记录了项目的版本更新日志。
• LICENSE: 包含项目的 MIT 许可证信息。
• README.md: 主要的说明文档，介绍了项目的目的、用法以及如何运行示例。
• msspray.py: 核心脚本文件，用于执行密码喷洒或验证操作。
• pymsspray.py: 可能是辅助Python模块或核心逻辑的一部分。

关键文件简介

• msspray.py: 程序的入口点，实现主要的功能逻辑，包括密码喷洒攻击和MFA验证。
• README.md: 用户指南，包含了安装说明、使用示例和重要提示。

---

2. 项目启动文件介绍

启动文件: msspray.py

使用 msspray.py 文件来启动工具，通过命令行参数指定不同的操作（如密码喷洒或验证），目标端点，用户名列表，以及密码等。以下是一些基本的启动方式示例：

• 密码喷洒示例:

  python3 msspray.py spray users.txt Spring2020 1 stop
  

  这将尝试对 aad_graph_api 端点进行密码喷洒，使用 users.txt 中的账号和密码“Spring2020”，并在首次成功后停止。

• 验证示例:

  python3 msspray.py validate bill.smith@sra.io ReallyBadPass
  

  检验给定的用户名和密码是否可以在多个端点上验证登录。

---

3. 配置文件介绍

MSSpray 的配置主要是通过命令行参数来进行的，没有独立的配置文件。所有的设置（如目标端点的选择、用户名文件路径、密码等）都是在调用 msspray.py 脚本时直接提供的。这意味着，用户的自定义配置通常通过脚本调用时指定的参数来实现。例如，用户可以创建自己的用户名列表文件，或者在每次执行时提供不同的密码，以此达到配置目的。

如果你想调整工具的行为，比如修改默认端点或添加额外功能，这将涉及直接编辑 msspray.py 或相关代码，而非通过外部配置文件。

---

请注意，由于项目已被归档，使用此类工具需符合法律和道德规范，不得用于非法目的。对于企业环境，应仅限于安全审计和合规性测试，并且需获得适当授权。

msspray Password attacks and MFA validation against various endpoints in Azure and Office 365 项目地址: https://gitcode.com/gh_mirrors/ms/msspray