网络安全之弱口令与命令爆破(下篇)(技术进阶)

目录

一,什么是弱口令?

二,为什么会产生弱口令呢?

三,字典的生成

四,九头蛇(hydra)弱口令爆破工具

1,破解ssh登录密码

2,破解windows登录密码

3,破解mysql登录密码

4,http请求爆破

五,爆破软件的使用

1,破解zip/RAR/ACE//AEJ压缩加密文件

2,破解word文档加密密码

六,Burpsuite工具token防爆破

总结


一,什么是弱口令?

弱口令就是容易被人们所能猜到的密码呗,例如:admin,123456,888等等简单的密码。

二,为什么会产生弱口令呢?

1,设置密码的人为了方便好记会选择一些容易的密码或是用自己的姓名,生日,手机号码等等。

2,有些平台和设备是有默认密码的,管理人员没有及时修改密码。

三,字典的生成

1,普通字典

普通字典就是一些平常的密码如88888888,666,abcabc和各种平台设备的默认密码等等,这类字典能否爆破出密码完全靠运气。

2,定制字典

利用对方的社工信息定制的字典如qq,邮箱,电话号码,生日,社交信息这些进行密码的定制(这里需要声明的是,严禁搭建对外的社工库犯法的)

社工密码在线生成:

Weakpass password generator

四,九头蛇(hydra)弱口令爆破工具

这是一个kali Linux自带的一个暴力破解密码工具。

参数:

-l 用户名 (小写),指定用户名

-L 字典 (大写),指定用于爆破用户名的字典

-p 密码 (小写),指定爆破的密码

-P 字典(大写),指定用于爆破密码的字典

-t 线程数(小写),默认是16,线程数越多破解速度越快

-ens 使用指定字典进行爆破

1,破解ssh登录密码

hydra -l kali -P password.txt -t 3 -ens 127.0.0.1 ssh

破解kali用户破解成功密码为kali

2,破解windows登录密码

hydra -l Administrator -P password.txt -t 3 -ens 192.168.0.118 rdp

3,破解mysql登录密码

hydra -l root -P password.txt -t 3 -ens 127.0.0.1 mysql

4,http请求爆破

hydra -t 3 -l admin -P password.txt -s 80 192.168.0.100 http-post-form "/t1/gdkp/login.php:user=^USER^&pass=^PASS^:用户名或密码错误"

爆破成功

五,爆破软件的使用

1,破解zip/RAR/ACE//AEJ压缩加密文件

使用ARCHPR工具

2,破解word文档加密密码

使用PassFab for Word工具

六,Burpsuite工具token防爆破

什么是token?

token的存在就是防止爆破而存在的,我们每次请求时就服务器就会发送一个token给我们,没有这个token即使我们的账号密码正确也登录不了,所以我们要爆破时还要获取token。

具体操作如下:

1,开启爆破工具并抓取登录请求包

2, 发送到爆破模块

3, 添加爆破点

4,token获取设置

5,token值设置

6, 设置线程池

我在后面又添加了一个发现成功了

后面我试了很多次,发现如果第一个密码是正确的它也会显示登录失败,这里有没有大佬知道的,知道的欢迎在评论区留言哦

总结

在日常生活中我们为了方便记住密码往往会设置一些简单的密码,所以让黑客有了可乘之机,所以为了避免不必要的麻烦,还是要把密码设置的复杂一点来增加黑客破解密码的难度,以上就是我的学习笔记了谢谢大家的观看!!!

如有疑问欢迎评论区留言哈

相关推荐
Championship.23.245 小时前
Linux 3.0 锁机制与故障排查详解
linux·运维·服务器
QYR-分析7 小时前
机器人安全控制器行业高速扩容 本土替代迎来全新发展窗口期
人工智能·安全·机器人
风123456789~7 小时前
【Linux专栏】ls 排除某个文件
linux·运维·服务器
IpdataCloud7 小时前
担心IP暴露隐私?用安全IP查询工具自查,三步配置网络出口
网络·tcp/ip·安全·ip
其实防守也摸鱼8 小时前
运维--学习阶段问题解答(1)(自测)
linux·运维·服务器·数据库·学习·自动化·命令模式
玖玥拾9 小时前
C# 语言进阶(十五)C# 游戏服务端 MySQL 数据库
服务器·开发语言·网络·数据库·mysql·c#
土星云SaturnCloud9 小时前
边缘计算驱动绿氢生产过程智能寻优:电解槽级实时优化技术解析
服务器·人工智能·ai·边缘计算
Web极客码10 小时前
突破并发瓶颈:云端高性能架构如何赋能海外 AI Agent 矩阵的高效产出
服务器·人工智能·架构
一个有温度的技术博主10 小时前
【VulnHub 实战】DC-1 靶机渗透测试笔记(一):信息收集与主机发现
服务器·网络·笔记
JerrySir11 小时前
恶意 npm 包只活了 17 分钟:技术面试里,为什么“升级依赖”还不算止血?
javascript·安全