login-securite/conpass

# ConPass [](https://pypi.org/project/conpass) [](https://pypistats.org/packages/conpass) [](https://twitter.com/intent/follow?screen_name=hackanddo) 一款考虑密码策略的 Python 持续密码喷射工具。 ## 相关博文 * 英语: https://en.hackndo.com/password-spraying-lockout/ * 法语: https://www.login-securite.com/blog/spray-passwords-avoid-lockouts ## 警告 尽管该工具实现了健壮的线程安全防锁定保护，但仍可能存在边缘情况导致账户被锁定。在生产环境中使用时请务必谨慎。 ## 安装 **conpass** 需要 python >= 3.10 ### 从源码安装 ``` cd conpass pipx install . ``` ## 用法 **conpass** 将获取所有域用户，并尝试使用密码文件中提供的密码列表。当用户可能被锁定时，工具会等待锁定重置期结束后再尝试下一个密码。 ``` conpass -d domain.local -u pixis -p P4ssw0rd -P /tmp/passwords.txt ``` `/tmp/passwords.txt` 中提供的所有密码将被添加到测试队列中，并在不会导致用户锁定的情况下，针对所有用户进行测试。 ### 安全阈值 安全阈值 (`-s`，默认值: 2) 在锁定阈值之前提供了一个安全裕度。例如： - 锁定阈值: 5 - 安全阈值: 2 - 每用户最大尝试次数: 3 这考虑了用户或其他工具可能进行的并发身份验证。 ## 许可证 MIT

标签：Active Directory, AD域安全, Cloudflare, MITRE ATT&CK, Plaso, PoC, Python, VEH, 合规性检测, 字典攻击, 密码喷射, 密码审计, 密码策略, 无后门, 暴力破解, 网络安全, 身份验证攻击, 防锁定, 隐私保护