# Spraying, Stuffing, and Defaults

**Password spraying**

* É um tipo de ataque no qual um invasor tenta usar uma única senha em diversas contas de usuário diferentes.
* Exemplo

```
netexec smb 10.100.38.0/24 -u <usernames.list> -p 'ChangeMe123!'
```

**Credential stuffing**

* É outro tipo de ataque de força bruta no qual um invasor usa credenciais roubadas de um serviço para tentar obter acesso a outros.
* Exemplo

```
hydra -C user_pass.list ssh://10.100.38.23
```

**Default credentials**

* Muitos sistemas — como roteadores, firewalls e bancos de dados — vêm com credenciais pré-definidas `default credentials`.
* Um exemplo amplamente utilizado é o [Default Credentials Cheat Sheet](https://github.com/ihebski/DefaultCreds-cheat-sheet)