系统安全检测(使用John进行密码破解)

最新推荐文章于 2025-06-06 11:43:56 发布
最新推荐文章于 2025-06-06 11:43:56 发布
阅读量5.3k 收藏 5
点赞数
CC 4.0 BY-SA版权
文章标签: 系统安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_60655253/article/details/121280305
本文详细介绍了如何在Linux环境下利用John工具进行密码破解。首先解压并编译John工具,接着创建测试用户并设置不同密码,然后修改John的密码字典文件,并复制shadow文件以进行破解。主要涉及暴力破解、字典破解和掩码破解三种方法。通过这个过程,展示了密码破解的基本流程和操作步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

破解原理:john 工具通过扫描 shadow 文件,对用户的密码进行反向推算,得到的值与密码字典 中的值相同时,则表示改密码对应成功,如果不对,则对比字典中的下一条密码,直到全部对比完 密码字典中的密码,或找到相同密码位置。

密码破解的三种方式:

1.暴力破解:使用密码破解软件,对指定范围的密码进行逐个对应计算。

2.密码字典破解:用户通过一个现有的密码字典,进行密码匹配,是否能够破解,取决于密码 字典中的密码数量。

3.掩码破解:基于暴力破解的一种指定范围的方式。

1、解压 john 工具

[root@localhost ~]# tar -zxvf john-1.8.0.tar.gz -C /usr/src/

2、转入到 john 软件目录的 src 子目录中:

[root@localhost ~]# cd /usr/src/john-1.8.0/src/

3、编译内核版本到软件中:

[root@localhost src]# make clean linux-x86-64

 

//老样子,如果报错是没有开发者工具,需要安装gcc和c++编译工具

[root@localhost ~]# mount /dev/cdrom /media/

[root@localhost ~]# rm -rf /etc/yum.repos.d/*

[root@localhost ~]# vim /etc/yum.repos.d/yum.repo

[root@localhost ~]# yum -y install gcc*

安装完gcc和c++再去编译内核版本

[root@localhost ~]# cd /usr/src/john-1.8.0/src/

[root@localhost src]# make clean linux-x86-64

4、优化命令路径:

[root@localhost ~]# ln -s /usr/src/john-1.8.0/run/john /usr/bin

5、创建测试用户:

[root@localhost ~]# useradd zhangsan

[root@localhost ~]# useradd lisi

[root@localhost ~]# useradd wangwu

6、给用户设置不同的密码:

[root@localhost ~]# echo "123.com" | passwd zhangsan --stdin

[root@localhost ~]# echo "1234.com" | passwd lisi --stdin

[root@localhost ~]# echo "12345.com" | passwd wangwu --stdin

7、修改 john 的密码字典文件:

[root@localhost ~]# vim /usr/src/john-1.8.0/run/password.lst

 

//随便找的地方添加,将刚才设置的密码添加进去

8、复制 shadow 文件到/tmp,编辑 shadow 文件,将多余的用户删除。

[root@localhost ~]# cp /etc/shadow /tmp

//复制shadow文件是以防出错,不会损坏源文件

[root@localhost ~]# vim /tmp/shadow

删除多余用户是方便破解,否则破解时间太久

删除:

除了root和刚添加的用户以外所有用户,方便验证,否则等待时间太久

修改完后保存文件需要加感叹号!因为是只读文件

//可以看到已经将密码破解出来

 

网络攻击之-暴力破解/密码喷射流量告警运营分析篇
村中少年的专栏
12-29 1767
通过列举SSH,SMB,RDP,MYSQL,PGSQL,Kerberos,NTLM等登录认证的数据包,讲解暴力破解检测,研判分析以及处置建议等
linux下使用John检测用户是否存在弱口令
qq_40907977的博客
06-15 1818
实验环境 Ubuntu 16.04 &&Centos 6.5 前言 在现互联网环境下,工作中避免不了会考虑服务器的安全问题,那么对于简单的口令来说,则是服务器所面临的最大风险。即便大家都会有这方面的安全意识,设置一个符合长度且复杂性的口令会更加安全,但总是会有一些用户因贪图方便而采用简单且易记的口令。 那么对于任何一个承担着安全责任的管理员来说,通过某种手段来更高效的找出那些弱口令用户是非常重要的,就是今天我所推荐的弱口令检测工具——John the Ripper。 1.什么是 John
John密码破解 ---- linux用户密码
u011070772的专栏
01-18 1810
John 密码破解 ---- linux简单用户密码 简单密码比较容易破解,复杂密码基本就别考虑john,太慢,john使用单颗CPU进行运算    实验步骤:             2种方法下载软件  在windows中下载后,用软件WinScp传到linux 某目录中 或 命令:wget  http://www.openwall.com/john/g/john-1.7.9
渗透测试--5.3.john密码操作
我是个好人呀,O(∩_∩)O
05-17 4667
由于Linux是Internet最流行的服务器操作系统,因此它的安全性备受关注。这种安全主要靠口令实现。Linux使用一个单向函数crypt()来加密用户口令。单向函数crypt()从数学原理上保证了从加密的密文得到加密前的明文是不可能的或是非常困难的。当用户登录系统时,系统并不是去解密已加密的口令,而是将输入的口令明文字符串传给加密函数,将加密函数的输出与/etc/passwd文件中该用户的PASSWORD域进行比较,若匹配成功,则允许用户登录系统。
kali系统概述、nmap扫描应用、john破解密码、抓包概述、以太网帧结构
最新发布
susu13025的博客
06-06 984
kali系统概述、nmap扫描应用、john破解密码、抓包概述、以太网帧结构 抓包应用、wireshark应用、nginx安全加固、Linux系统加固
John密码破解姿势
weixin_51725318的博客
09-12 5982
John密码破解姿势
黑客的秘密武器:John the Ripper密码破解全解析
程序员野蛮成长
08-07 3783
John the Ripper 是一个开源的密码破解工具,广泛用于安全审计和渗透测试中对已哈希过的密码进行破解。它支持多种加密算法,包括但不限于DES、MD5、SHA系列等,并且可以针对Linux、Windows等多种操作系统中的密码哈希进行破解。在Kali Linux中,John the Ripper已经被预装,这使得安全研究人员能够方便地利用这一强大工具。
John密码破解工具
qq_60848021的博客
04-11 2582
ohn 是一款大受欢迎的、免费的开源软件、基于字典的密码破解工具。它支持多种不同类型的系统架构,包括 Unix 、 Linux 、 Windows 、 DOS 模式、 BeOS 和 OpenVMS ,主要目的是破解不够牢固的 Unix/Linux 系统密码。--rules 打开字典模式的词汇表切分规则(在字典的基础上再添加些变化,例如字典中有单 词test,则john还会尝试使用tes、teSt、 tset等单词变化进行解密)自带了一个字典,字典位于。
Windows 上使用 Hashcat 进行 GPU 加速密码破解
qq_46311839的博客
03-03 2952
由于 Kali Linux 无法使用 GPU 运行 Hashcat,因此我们转向物理机 Windows 系统进行操作。本指南将介绍如何下载、安装 CUDA 并配置 Hashcat,以便在 Windows 下使用 GPU 进行密码破解。在使用 Hashcat 之前,需要确认 Windows 设备是否支持 GPU 加速。nvidia-smi选择适合你显卡的和,确保兼容性。⚠️✅ 保留现有的 NVIDIA 驱动(512.78),不需要升级,保持稳定性。✅ 安装 CUDA 11.6(与你当前的驱动完全兼容)。
Linux系统安全--John弱口令检测
LPFAM的博客
07-05 517
文章目录john弱口令检测步骤1.上传john-1.80.ta 到/opt2.压缩包解压到/opt3.安装gcc和gcc-c++4.make linux-x86-64 编译5.破解弱口令密码 john弱口令检测步骤 1.安装john,及c++环境 2.make linux-x86-64 编译 3.破解弱口令密码 ./john /etc/passwd /etc/shadow john弱口令检测 1.上传john-1.80.ta 到/opt 2.压缩包解压到/opt [root@lpf lpf]# tar zx
密码破解工具
idlecloud0105的博客
04-08 1276
是一款高性能的 GPU 密码破解工具,支持 Windows、Linux 和 macOS。由于 GPU 具备强大的并行计算能力,hashcat 的破解速度远超 CPU。是一款广泛使用密码破解工具,支持 Windows、Linux 和 macOS。John the Ripper 适用于 CPU 计算,但破解复杂密码时速度较慢,因此 GPU 加速工具 hashcat 更受欢迎。密码是信息安全的核心之一,而攻击者往往利用各种工具和技术来破解密码。通过这些措施,可以有效降低密码破解的风险,提高系统安全性。
john Linux密码暴力破解Win版本
01-11
John the Ripper是一款免费、开源的暴力密码破解器,它有多平台版本,支持目前大多数的加密算法,如DES、MD4、MD5等。这款工具就像它的名字一样,更为直接且崇尚蛮力,其破解过程完全取决于用户,即只要给它时间,它总会给你一个好的结果。
使用john破解密码
嘟的博客
10-26 4057
title: 使用john破解密码 tags: 密码破解 categories: 渗透测试 john Created directory: /root/.john John the Ripper password cracker, version 1.8.0.6-jumbo-1-bleeding [linux-x86-64-avx] Copyright (c) 1996-2015 by Sol...
john工具破解密码(Linux、ZIP等)
墨痕诉清风的博客
04-11 1万+
目录 官网 介绍 测试 安装 ubuntu centos 安装完成查看 使用 john.pot 文件 官网 支持Win、Lin、Mac等 https://www.openwall.com/john/ 介绍 john 是一款大受欢迎的、免费的开源软件、基于字典的密码破解工具。用于在已知密文的情况下尝试破解出明文的破解密码软件,支持目前大多数的加密算法,如 DES 、 MD4 、 MD5 等。 John 支持字典破解方式和暴力破解方式。它支持多种不同类型的系统架构,包括
john破解
qq_43776408的博客
09-29 1772
步骤:1.结合 2.三种破解方法 unshadow命令基本上会结合/etc/passwd的数据和/etc/shadow的数据,创建1个含有用户名和密码详细信息的文件 示范: root@kali: unshadow /etc/passwd /etc/shadow > shadow 生成了一个名为shadow的密码文件。 ////////////////////...
John破解Linux哈希密码文件
wanjia01的博客
04-06 2213
在现如今的Internet环境里,过于简单的口令、密码是服务器的最大风险。尽管都知道要设置一个长且复杂的口令密码会更安全,但仍有部分用户图省事而采用简单、便于记忆的口令密码字串。对于任何一个肩负安全责任的管理员,需要及时找出这些弱口令账号,以便于采取更进一步的安全措施。 John the Ripper是一款开源的密码破解工具,能在已知密文的情况下快速分析出明文的密码字串,支持DES、MD5等多种加密算法,而且允许使用密码字典(含各种密码组合的列表文件)进行暴力破解。通过John the Ripper,可以检
John the Ripper密码破解工具——编程实现
CyberLynxO的博客
08-13 372
通过使用Python编写的代码,我们可以基于字典攻击的方法对给定的密码哈希进行破解密码破解工具在一些特定的场景下具有重要意义,但是在使用过程中需要谨慎行事,遵守法律和道德规范。然而,有些情况下我们需要破解密码,例如在忘记密码时需要恢复访问权限或者在网络安全测试中需要评估系统的弱点。然而,需要注意的是,在实际应用中,我们应该始终遵守法律和道德准则,仅在合法授权的情况下使用密码破解工具。在这个函数中,我们首先打开密码字典文件,并逐行读取其中的密码。现在,我们可以编写主函数来调用密码破解函数并测试其功能。
john 破解Linux登录密码
SheXinK’s Blog
12-12 3153
john 破解Linux登录密码1、 测试环境2、 john 破解登录密码   Linux密码信息分别保存在 /etc/passwd和/etc/shadow 文件中,在渗透中,可利用john破解Linux登录密码。当然,也是基于强大的密码字典 1、 测试环境   Kali 2、 john 破解登录密码 unshadow /etc/passwd /etc/shadow >pass.txt ...
使用hashcat和john破解压缩包密码(写给新手网友)
热门推荐
weixin_44632614的博客
10-23 1万+
普通人拿到个压缩包,想破解密码一般会上B站知乎csdn等网站搜索教程。在检索到的方法里面,使用hashcat和john联合破解的方法被推荐的最多。然而,在实践的过程中发现,这些教程良莠不齐,有很多纯属是傻币博主装高手,内容的核心价值只能算是提到了有这么个方法,根本没有提及一些隐藏的坑和技巧。本文将完整的记录整个操作过程,同时传授本人在破解过程中所学习到的一些经验,为后来者提供指导。本文分为三个部分,第一个部分记录了顺利情况下的操作过程,第二个不分是关于破解过程中容易出现的坑,第三个部分是啥还没想好。
收集系统安全模块接口
12-28
### 系统安全模块 API 接口文档概述 #### 安全认证与授权接口 为了保障系统的安全性,在设计API时通常会集成OAuth2.0协议用于处理用户的认证和授权流程。此类接口允许第三方应用获取有限访问权限,从而保护用户隐私并确保只有经过验证的服务能够操作受控资源。 ```json POST /oauth/token HTTP/1.1 Host: api.example.com Content-Type: application/x-www-form-urlencoded grant_type=password&username=johndoe&password=s3cre7 ``` 此请求将返回一个包含access_token的对象,该token可用于后续调用其他需要身份验证的API服务[^1]。 #### 数据加密传输接口 对于涉及敏感信息的操作,如个人信息查询或修改密码等功能,则应采用HTTPS协议来保证通信过程中的信息安全。此外还可以提供专门的数据加解密方法供客户端调用来增强保密性。 ```java // 加密示例代码片段 Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding"); SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), "AES"); cipher.init(Cipher.ENCRYPT_MODE, keySpec); byte[] encryptedData = cipher.doFinal(plainText.getBytes()); ``` 上述Java代码展示了如何利用AES算法对明文数据进行加密处理后再上传至服务器端保存[^4]。 #### 日志审计跟踪接口 日志记录是检测潜在威胁的重要手段之一。系统应当支持详细的日志记录功能,并开放相应的API以便管理员可以定期审查重要事件的发生情况,及时发现异常行为模式。 ```sql SELECT * FROM security_logs WHERE event_time >= '2023-09-01' AND user_id = 123; ``` 这条SQL语句可以从数据库中检索特定时间段内指定用户的活动记录,帮助分析人员了解是否存在可疑动作。 #### 风险预警通知接口 当监测到可能的安全风险时(例如多次失败登录尝试),应及时向相关人员发出警告消息。这可以通过邮件、短信或其他即时通讯工具完成,具体取决于企业内部的通知机制设置。 ```python import smtplib from email.mime.text import MIMEText msg = MIMEText('您的账户可能存在安全隐患,请尽快检查') msg['Subject'] = '安全提醒' server = smtplib.SMTP('smtp.gmail.com', 587) server.starttls() server.login(sender_email, password) server.sendmail(sender_email, receiver_emails, msg.as_string()) server.quit() ``` 这段Python脚本实现了通过SMTP协议发送电子邮件的功能,可以在检测到异常状况后自动触发执行以告知受影响方采取措施[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

数据库从删库到跑路

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值