Microsoft在线帐户的密码Entraspray工具

　　Entraspray 是 Python 中 MSOLSpray 的重写。此工具的主要用途保持不变：对 Microsoft Azure 帐户执行密码喷射，同时提供有关帐户状态和错误的详细信息;例如，是否启用了 MFA、租户或用户是否不存在、帐户是否被锁定或禁用等。

　　增强：

　　• 该脚本将从输入列表中删除“已泄露”的用户。此功能可防止对在上一次执行脚本时已识别正确密码的帐户进行密码喷射。在输出目录中创建原始用户输入列表的备份。虽然看似微不足道，但此更改可以减少重复的密码喷射和帐户锁定，这是我在大多数其他密码喷射工具中没有看到的功能。操作员可以安全地继续使用相同的用户输入列表，而不会冒不必要的帐户锁定和警报的风险。

　　• 为每个请求随机选择用户代理。

　　• 还根据条件访问策略添加了一些其他错误代码。

　　该工具支持使用 FireProx 在身份验证请求上轮换源 IP 地址，避免被 Microsoft Entra 智能锁定阻止。

　　安装

　　创建/激活虚拟环境和安装要求：

　　git clone https://github.com/dunderhay/entraspray.git

　　python3 -m venv venv

　　来源：venv/bin/activate

　　python3 -m pip install -r requirements.txt

　　密码Entraspray

　　提供一个包含目标电子邮件地址的 UserList 文件，每行一个，例如“user@example.com”。请谨慎避免锁定帐户，因为如果使用不当，此工具可能会触发 Microsoft Entra 智能锁定。

　　python3 entraspray.py –userlist userlist.txt –password Password123