弱口令密码破解

于 2024-07-31 20:21:01 发布
阅读量1.3k 收藏 11
点赞数 39
文章标签: web安全 数据安全 弱口令
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_73442302/article/details/140831664
版权

弱口令和暴力破解

弱口令

弱口令( weak password ) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令。

公共弱口令

公共弱口令就是常见的密码,也就是根据大量的密码数据统计得出的出现频率较高的弱口令。

条件弱口令

往往与这个人的个人信息(姓名,生日,手机号,特殊昵称,爱好,社交软件账号,常用 username ,邮箱...),关系成员(家庭成员,男女朋友...),所处环境(车牌号,公司信息比如公司名称,公司成立时间或地点,公司 domain 等...),还有特殊的指定字符(数字,单词...)等相关

弱口令原因

与个人习惯、意识相关,为了避免忘记密码,使用一个非常容易记住的密码,或者是直接采用系统的默认密码等。相关的安全意识不够,总认为不会有人会猜到我这个弱口令的。

弱口令示例

简单数字组合 : 000000 111111 11111111 112233 123123
顺序字符组合: abcdef abcabc abc123 a1b2c3 aaa111
临近字符组合: 123qwe Qwerty qweasd
特殊含义组合: admin password p@ssword Iloveyou 5201314

暴力破解

顾名思义,暴力破解的原理就是使用攻击者自己的用户名和密码字典,一个一个去枚举,尝试是否能够登录。因为理论上来说,只要字典足够庞大,枚举总是能够成功的!

但实际发送的数据并不像想象中的那样简单——“ 每次只向服务器发送用户名和密码字段即可!”,实际情况是每次发送的数据都必须要封装成完整的 HTTP 数据包才能被服务器接收。但是你不可能一个一个去手动构造数据包,所以在实施暴力破解之前,我们只需要先去获取构造HTTP包所需要的参数,然后扔给暴力破解软件构造工具数据包,然后实施攻击就可以了。Web暴力破解通常用在,已知部分信息,尝试爆破网站后台,为下一步的渗透测试做准备。

密码破解

密码破解介绍

指用枚举的方式来爆破用户信息。具体的流程是用事先收集好的数据集成一个字典,然后用字典不断进行枚举,直到枚举成功

暴力破解工具

Burpsuite

Hydra

Metasploit

SNETCracker

暴力破解字典

  • Default Password

历年弱口令 top100 , github 上搜索弱口令字典

https://github.com/k8gege/PasswordDic

https://github.com/danielmiessler/SecLists

https://192-168-1-1ip.mobi/default-router-passwords-list/

https://github.com/danielmiessler/SecLists/blob/master/Passwords/Default-Credentials/default-passwords.csv

https://github.com/Dormidera/WordList-Compendium

  • 创建自定义字典

使用 Cewl、pydictor、safe6pwd等工具

暴力破解场景

  • 不含验证码后台
  • 不失效的验证码(验证码失效时间较长)
  • 各种常见应用程序,比如: phpmyadmin tomcat mysql
  • 各种协议:ftpsshrdp
  • 爆破大马
2-弱口令密码破解
weixin_52008972的博客
01-22 517
我们用前面burpsuite抓到的包来尝试爆破用户名,首先将目标发送到intruder,配置好需要爆破的位置,就是先点击clear,然后选择用户名那里点击add。通过该实验掌握后台密码的穷举以及一些服务的弱口令,掌握tomcat后台爆破及getshell,学会爆破目标ssh和mysql服务账号密码。接下来爆破密码,我们首先用正确的用户名和随便一个密码来登录后台,然后用burpsuite抓包,重复刚才的操作。得到正确的用户名和密码后,我们试着连接目标的ssh,按照提示输入密码,我们成功连接上了目标。
弱口令密码破解(应用)
weixin_43873557的博客
02-06 3497
➢ Hydra Hydra是一款开源的暴力破解工具,支持FTP、MSSQL、MySQL、PoP3、SSH等暴力破解 ➢参数介绍 hydra –l root –p root 172.26.2.36 ssh -l 指定用户名 -L 指定用户名字典 -p 指定密码 -P 指定密码字典 -C 使用冒号分隔,比如root:root -M 指定目标列表文件 -f 在找到第一对登录名或密码的时候停止 ➢ SNETCracker SNETCracker 超级弱口令检查工具是一款Windows平台的弱口令审计工具,支持批量多
弱口令密码
04-30
内置内置90000多条使用频率最高的密码,是wifi密码破解或其他密码破解必备字典库。
弱口令(Weak Password)总结和爆破工具
热门推荐
博客地址 www.sec0nd.top
09-01 3万+
网站管理、运营人员由于安全意识不足,为了方便、避免忘记密码等,使用了非常容易记住的密码,或者是直接采用了系统的默认密码等。攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。...
弱口令介绍及破解方式
weixin_56990703的博客
04-02 1万+
一、弱口令的定义 仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。 二、弱口令的特点 1、连续字符串(如aaaa,abc等) 2、数字 数字通常会包含个人信息,如生日、身份证号的某几位。 3、字符串+数字;数字+字符串;重复数字或字符串的组合 三、安全口令的要求(有效防止弱口令) 1.不使用空口令或系统缺省的口令,因为这些口令众所周知,为典型的弱口令。 2.口令长度不小于8个字符。 3.口令不应该为
简单的弱口令密码字典!!!
ting_liang的博客
04-02 1万+
将下面的复制到文本文档即可!
前10000常用弱密码弱口令
01-27
前个10000常用弱密码弱口令
渗透测试弱口令字典,密码爆破字典
03-19
渗透测试弱口令字典,密码爆破字典
Django 实现有点安全的网站登录认证机制——口令爆破
Bcdfxg的博客
01-06 1888
这次讲登录认证机制最常见的漏洞,口令暴力破解
弱口令爆破密码本呀!!!!!
08-26
弱口令爆破密码
弱口令——里面包含了国内最常用的口令
08-23
弱口令——里面包含了国内最常用的口令! 数字的、数字和字母结合的、字母的、相邻字母的、符号的都有! 大家可以下载用一下,绝对好玩! 亲测有效
超级弱口令暴力破解检查工具V1.0 Beta2\11\17全3个版本打包
01-16
超级弱口令暴力破解工具 可以检测常见端口服务(ssh、3389、tomcat、weblogic等)弱口令,功能很强大。
弱口令破解实验
10-13
利用锐捷虚拟平台,大学上机课实验报告内容,内含步骤。
弱口令集(破解用)
10-21
有扫描的,可以直接用上,口令集,省去你不少时间。
弱口令之暴力破解
记录开发和安全学习过程中的点点滴滴
04-22 2139
本来想在打靶场的同时结合实战案例放在一起进行分享,结果发现篇幅太长,也不利于看,就放在下一篇中结合着一起来看,当然我也会在下面的靶场中,写出具体的一些实战遇到的解释,为什么要着重来写这个,能用弱口令进入的页面是获得权限以及获取其他漏洞的最好方式了,实在没办法的话,采取其他战术.弱口令是指容易被猜测或破解密码,而爆破破解是一种通过穷举法尝试所有可能的密码组合以破解密码的方法。弱口令通常指的是那些强度不高、容易被人猜到或者被破解工具所破解密码
13-弱口令破解
weixin_57448301的博客
04-05 550
弱口令爆破靶场演练:1.无验证码爆破。2.验证码前端验证。3.验证码不失效
弱口令破解工具--超级弱口令工具/hydra
嘿嘿嘿
04-25 560
hydra -l/L<登录名/登录名路径> -p/P <密码/密码路径> 协议://被扫描IP(端口号optional)弱口令没有标准的定义,无论多复杂的口令,只要攻击者的口令字典里包括了的口令信息就可以称为弱口令。kali中自带的功能,用法相比较前者更全面一些。安装很简单,用法也很简单。
【精选】弱口令介绍及破解方式
zz12345600354的博客
05-27 1081
暴力破解,是一种针对于密码的破译方法,将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试10000次就能找到正确的密码。而当遇到人为设置密码(非随机密码,人为设置密码有规律可循)的场景,则可以使用密码字典(例如彩虹表)查找高频密码破解时间大大缩短。对于弱口令破解,穷举法对于简单的口令有着“奇效”,但是对于一般的口令,穷举法的工作量太大;
弱口令密码生成
最新发布
03-23
### 如何生成弱口令密码 生成弱口令密码通常涉及以下几个方面: #### 收集已知的弱口令 可以通过多种途径获取现有的弱口令集合,这些集合可以作为基础数据来构建更全面的弱口令字典。常见的来源包括但不限于: - **公开开源弱口令库**:许多安全社区提供了开放共享的弱口令数据库,可以直接下载并使用[^1]。 - **行业特定弱口令**:不同行业的业务场景下可能存在特有的敏感字符组合或常见习惯用语,因此可以根据具体需求定制化弱口令列表。 #### 使用自动化工具生成 利用专门设计用于检测系统安全性漏洞的应用程序也可以帮助创建个性化的弱口令词典。例如SNETCracker就是一个典型代表,在实际操作过程中能够实现高效扫描目标网络内的潜在风险点[^2]。 #### 示例代码展示 下面给出一段Python脚本用来演示简单的基于规则扩展的基础版弱密码生成逻辑: ```python import base64 import hashlib def generate_weak_passwords(): common_passwords = ["password", "123456", "admin"] passwords_with_encodings = [] for pwd in common_passwords: # Add Base64 encoded version of the password b64_encoded = base64.b64encode(pwd.encode()).decode() passwords_with_encodings.append(b64_encoded) # Add MD5 hash of the password md5_hashed = hashlib.md5(pwd.encode()).hexdigest() passwords_with_encodings.append(md5_hashed) return set(common_passwords + passwords_with_encodings) weak_password_list = list(generate_weak_passwords()) print(weak_password_list) ``` 此段代码会输出一系列由原始字符串及其Base64编码形式还有MD5散列值组成的候选弱密码项。 #### 注意事项 无论采用何种方式生产此类信息资源都应严格遵守法律法规规定,未经授权擅自尝试访问他人账户属于非法行为,务必合法合规地运用相关技术手段[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shadow_143

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值