弱口令与密码爆破

1.弱口令的危害

弱口令可能导致安全漏洞,给黑客提供入侵系统的机会。一旦黑客猜测或者破解了弱口令,他们就可以轻易地访问用户账户、系统或者网络。

弱口令的概念

弱口令通常指的是容易被猜测或者破解的密码,通常由于密码过于简单或者容易推测而造成的安全风险。弱口令可能包括常见的字典单词、数字组合、重复字符或者顺序字符等,这些密码容易受到暴力破解或者字典攻击的威胁。与强密码相比,弱口令更容易被黑客利用来入侵系统或者盗取用户账户的信息。因此,对于安全意识来说,密码的选择和管理至关重要。

弱口令产生的原因

1.密码设置的人员疏忽大意,安全意识薄弱,为了方便记忆在不同的平台设置简单或同样的密码

2.某些管理平台有默认的密码,而没有及时的修改密码

2.字典生成

1.常见密码

搜集到比较常见的密码,能不能破出来完全看运气。

2.默认密码

不同的平台安装后的默认密码

3.定制密码

比如以生日,电话号码,姓名的拼音和公司的名称。

信息收集

可以通过fofa收集

fofa.info

fofa搜索语句这个搜索引擎里面都有详细的讲解。

社工库,也就是所谓那些信息泄露被记录的地方

你注册过哪些网站?一搜便知 - REG007

社工字典生成器

weakpass: https://github.com/zzzteph/weakpass

在word里输入一些你收集到的信息,不如手机号码,生日和姓名的拼音,或者是他所在单位的名称,都是可以放到生成器里去生成一个简单且有针对性的字典,我拿张三为例子,我通过社工知道张三的妻子是李四,且张三的年龄为18,生日为3月18日,在美团上班,不知道电话号码。

通过我知道的张三的信息我生成了1613个结果,有他的信息所组成的信息。

这些就是定制字典,所以信息泄露还是很可怕的。

3.自动化爆破工具(拿靶场为例)

把请求发送 Intruder

配置bp爆破

配置 payloads 添加爆破字典

能不能爆出来完全看运气。

使用bp插件爆破

1.xiapao

获得验证码地址(以下的配置不同的网站可能不同,自己需要多尝试,失败很正常)

使用 bp 代理拦截,把验证码修改成 @xiapao@1@

使用 Intruder 进行其他的配置

配置线程池,注意,当前的组件需要配置连接池,要求请求线程为 1

显示这个页面说明成功了。

九头蛇

hydra 是著名组织 thc 的一款开源的暴力破解密码工具,功能非常强大,kali自带,

参数

-l login 小写,指定用户名进行破解

-L file 大写,指定用户的用户名字典

-p pass 小写,用于指定密码破解,很少使用,一般采用密码字典。

-P file 大写,用于指定密码字典。

-e ns 额外的选项,n:空密码试探,s:使用指定账户和密码试探

-M file 指定目标 ip 列表文件,批量破解。

-o file 指定结果输出文件

-f 找到第一对登录名或者密码的时候中止破解。

-t tasks 同时运行的线程数,默认是 16

-w time 设置最大超时时间,单位

-v / -V 显示详细过程

-R 恢复爆破(如果破解中断了,下次执行 hydra -R /path/to/hydra.restore 就可以继续任

务。)

-x 自定义密码。

破解SSH密码

先要确定 shh 是启动的

service ssh restart

指定 kali 账号 用 password.txt 文件 使用 3 个线程,爆破本地的 ssh

hydra -l kali -P password.txt -t 3 -e ns 127.0.0.1 ssh

破解windows登录密码

hydra -l administrator -P password.txt -t 3 -e ns 192.168.0.95 rdp

破解mysql登录密码

hydra -l root -P password.txt -t 3 -e ns localhost mysql

破解http请求

hydra -t 3 -l luojie -P password.txt  -s 80 192.168.209.1 http-get-form "/login.php:user=^USER^&pass=^PASS^ :用户名或密码错误"

4.word和zip的密码破解

zip

word


本文章仅作技术分析,请勿去做违法的事情,后果自负!!!

评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值