我想他们有两种方法可以得出他们得出这个结论的信息。

1. 他们在net accounts /domain用户计算机上运行命令，该命令转储了您组织的密码复杂性要求（假设 Windows / Active Directory）
2. 他们成功地破解了强制（或猜测）的用户密码，因为它们很弱。最近像 LinkedIn 这样的密码转储提供了大量真实世界的密码，渗透测试人员一直在现场使用这些密码来尝试破解密码。

如果没有进一步的信息，很难说他们是如何得出这个结论的（我们不知道红队做了什么或范围内有什么），但这两种方式是我假设他们是如何做到的。

并不真地。

测试人员可能知道的：

• 密码策略：注册或更改密码时，应用程序可能会限制可能的密码，导致密码较弱。密码策略也可能允许使用弱密码，但这将是一个单独的问题。
• 密码长度：测试人员可能已经获得了有关密码长度的信息，例如通过盲注 SQL 注入，并且可能没有费心去收集密码。
• 密码：测试人员可能已经获得了对密码的访问权限，例如通过 SQL 注入或通过暴力破解登录。但这些问题也应该单独列出。

对的，这是可能的。

Windows 网络可能容易受到空会话攻击，这些攻击允许攻击者枚举系统详细信息：

...获得对 IPC$ 的匿名访问。默认情况下，Windows NT 系列主机允许通过 NetBIOS 匿名访问系统和网络信息，因此可以收集以下信息：

• 用户列表
• 机器清单
• NetBIOS 名称列表
• 分享列表
• 密码策略信息
• 组和成员列表
• 本地安全机构政策信息
• 域和主机之间的信任信息

一份适当、完整和专业的渗透测试报告必须详细包含所有发现。它不仅应该列出他们是如何得出结论的，还应该列出他们使用的方法，以及可能的证明截图。如果没有，您可以询问更多详细信息，他们有义务解释或提供详细信息。

也就是说，如果没有进一步的细节，我相信他们可以做的是找到一般的密码策略，并根据它建议更改或改进它，如果他们认为它很弱或不完整。即使那样，他们也不能也不应该仅仅因为该策略而假设给定的用户密码很弱。即使使用不那么强的密码策略，仍然可能会创建复杂或强密码（在某些情况下）。

大多数弱点发生在用户选择弱密码时，无论密码策略如何。