kali 基础介绍(CredentialAccess——凭证访问)

文章目录

• • [（一）Brute Force（暴力破解）](#（一）Brute Force（暴力破解）)
  • • 1.hydra
    • 2.medusa
    • 3.ncrack
    • 4.netexec
    • 5.patator
    • 6.thc-pptp-bruter
  • [（二）Hash Identification（哈希类型识别）](#（二）Hash Identification（哈希类型识别）)
  • • 1.hashid
    • 2.hash-identifier
  • [（三）OS Credential Dumping（操作系统凭证转储）](#（三）OS Credential Dumping（操作系统凭证转储）)
  • • 1.chntpw
    • 2.creddump7
    • 3.mimikatz
    • 4.samdump2
  • [（四）Password Cracking（密码破解）](#（四）Password Cracking（密码破解）)
  • • 1.hashcat
    • 2.john
    • 3.ophcrack
    • 4.ophcrack-cli
  • [（五）Password Profiting & Wordlists（密码分析与字典生成）](#（五）Password Profiting & Wordlists（密码分析与字典生成）)
  • • 1.cewl
    • 2.crunch
    • 3.rsmangler
    • 4.wordlists
  • （六）WiFi（无线安全）
  • • 1.aircrack-ng
    • 2.bully
    • 3.fern-wifi-cracker
    • 4.pixiewps
    • 5.reaver
    • 6.wifite

本文主要介绍 kali 的 CredentialAccess (凭证访问)的相关工具的具体作用。本文仅限于日常学习和技术交流。不得利用文章涉及的技术点进行违法活动。

（一）Brute Force（暴力破解）

图中展示了 Kali Linux 系统中一系列用于暴力破解（Brute Force）和凭证攻击的工具，它们主要用于在渗透测试中通过字典攻击、穷举法等方式破解服务登录密码，是内网渗透和横向移动的重要手段。

1.hydra

作用 ：Hydra 是由 THC 黑客组织开发的开源暴力破解工具，支持 SSH、FTP、HTTP、MySQL、RDP 等超过 50 种网络协议。
功能：

• 提供命令行与图形界面双模式，支持多平台运行。

• 可指定用户名、密码字典或自动生成密码组合进行并行破解。

• 支持恢复中断会话、SSL 加密连接、代理服务器等高级功能。
  常用命令：

• 破解 SSH 登录：

  hydra -L users.txt -P pass.txt ssh://192.168.1.100

• 破解 HTTP 表单登录：

  hydra -l admin -P pass.txt 192.168.1.100 http-post-form "/login.php:username=^USER^&password=^PASS^:S=Welcome" -v

2.medusa

作用 ：Medusa 是一款开源、高速、模块化的在线密码爆破工具，与 Hydra 功能相似但稳定性更高。
功能：

• 支持 SSH、FTP、Telnet、MySQL、SMB、VNC 等协议。

• 采用多线程架构，可同时对多个主机、用户或密码进行并行攻击。

• 支持自定义用户名/密码列表、配置文件、代理认证。
  常用命令：

• 破解 FTP 服务：

  medusa -h 192.168.1.100 -U users.txt -P pass.txt -M ftp

• 破解 MySQL 数据库：

  medusa -h 192.168.1.100 -u root -P pass.txt -M mysql

3.ncrack

作用 ：Ncrack 是由 Nmap 团队开发的网络认证破解工具，专为高速并行破解设计。
功能：

• 支持 SSH、RDP、SMB、FTP、MySQL、PostgreSQL 等协议。

• 采用动态引擎适应不同网络环境，支持大规模网络审计。

• 可与 Nmap 扫描结果联动，自动提取目标服务进行爆破。
  常用命令：

• 破解 RDP 远程桌面：

  ncrack -u administrator -P pass.txt rdp://192.168.1.100

• 批量破解多个目标：

  ncrack -U users.txt -P pass.txt -M targets.txt

4.netexec

作用 ：Netexec 是一款基于 Python 的内网凭证传递与命令执行工具，常用于横向移动。
功能：

• 支持 SMB、WinRM、LDAP、SQL 等协议的凭证传递（Pass-the-Hash）。

• 可执行远程命令、上传文件、枚举用户和组。

• 支持 Kerberos 认证、NTLM 哈希、明文密码等多种认证方式。
  常用命令：

• 使用哈希传递执行命令：

  netexec smb 192.168.1.100 -u administrator -H aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0 -x "whoami"

5.patator

作用 ：Patator 是一款灵活、模块化的暴力破解工具，以稳定性与可扩展性著称。
功能：

• 支持 HTTP、SMB、SSH、FTP、DNS、LDAP、RDP 等多种协议。

• 可自定义请求模板、模糊测试、支持代理和证书认证。

• 采用 Python 编写，支持多线程和断点续传。
  常用命令：

• 破解 HTTP Basic 认证：

  patator http_fuzz url=http://192.168.1.100/admin login=USER password=PASS 0=users.txt 1=pass.txt

6.thc-pptp-bruter

作用 ：THC-PPTP-Bruter 是专门针对 PPTP（点对点隧道协议）VPN 服务的暴力破解工具。
功能：

• 用于破解 PPTP VPN 的 MS-CHAPv1/v2 认证。

• 支持字典攻击和穷举法，可提取并破解 PPTP 会话中的挑战-响应数据。

• 由 THC（The Hacker's Choice）组织开发，与 Hydra 同源。
  常用命令：

• 破解 PPTP VPN：

  thc-pptp-bruter -u username -P pass.txt 192.168.1.100

（二）Hash Identification（哈希类型识别）

图中展示的是 Kali Linux 系统中用于哈希类型识别 的两个工具：hashid 和 hash-identifier。它们在渗透测试的"信息收集"与"凭证分析"阶段发挥关键作用，帮助安全人员快速判断一段密文的加密算法类型，从而为后续的密码破解或漏洞分析提供方向。

1.hashid

它是当前主流的哈希识别工具，由 Python 编写，是已停止维护的 hash-identifier 的"继任者"。支持超过 300 种哈希类型，使用正则表达式匹配哈希特征，并可与 hashcat、JohnTheRipper 等破解工具集成。支持单个哈希、文件或整个目录的批量分析，兼容 Python 2.7+ 和 Python 3.3+ 环境，可通过 pip 安装。

常用命令

• 识别单个哈希值：

  hashid "5f4dcc3b5aa765d61d8327deb882cf99"

• 从文件中批量识别哈希：

  hashid -m < hash_file.txt

• 输出结果包含可能的哈希算法列表，支持正则匹配和模糊识别。

2.hash-identifier

它是 hashid 的前身，功能与 hashid 类似，但支持的哈希类型较少。可识别 MD5、SHA-1、SHA-256、MySQL、Cisco 等常见哈希格式。已不再更新，功能被 hashid 覆盖。在旧版 Kali 或特定脚本环境中仍可能被调用。

常用命令

• 启动交互式识别界面：

  hash-identifier

• 输入哈希值后，工具会列出所有可能的哈希类型，供用户选择后续破解策略。

使用建议

• 优先使用 hashid，功能更全、更新更及时。
• 两者均可通过命令行直接调用，识别结果仅用于"判断加密算法"，不包含密码破解功能。
• 在获取目标系统的密码哈希后，第一时间用它们判断是 MD5、SHA-1、NTLM、bcrypt 还是其他算法，以便选择正确的破解策略。

（三）OS Credential Dumping（操作系统凭证转储）

图中展示的是 Kali Linux 系统中用于**操作系统凭证转储（OS Credential Dumping）**的四个核心工具，它们在渗透测试的后渗透阶段（Post-Exploitation）用于从 Windows 系统中提取敏感认证信息，如密码哈希、明文密码、Kerberos 票据等，是红队演练和安全审计的重要组成部分。

1.chntpw

作用 ：chntpw 是一个用于编辑 Windows 注册表的开源工具，主要用于重置或修改 Windows 用户密码。
功能：

• 可直接修改 Windows SAM 文件中的用户密码，或将普通用户提升为管理员权限。

• 支持从离线的 Windows 系统中提取用户列表、修改密码哈希，常用于忘记密码时的应急恢复或渗透测试中的权限获取。
  常用命令：

• 列出 SAM 文件中的所有用户：

  chntpw -l SAM

• 重置指定用户的密码：

  chntpw -u Administrator SAM

2.creddump7

作用 ：creddump7 是一个基于 Python 的工具，用于从 Windows 注册表文件中提取各种凭证和密钥。
功能：

• 从离线的 SYSTEM 和 SAM 注册表文件中提取 LM 和 NT 哈希、缓存的域密码、LSA 密钥等敏感信息。

• 支持 Windows 7/Vista 等系统，适用于取证分析和离线凭证提取。
  常用命令：

• 提取 SAM 文件中的密码哈希：

  python pwdump.py SYSTEM SAM

• 提取缓存的域密码：

  python cachedump.py SYSTEM SECURITY

3.mimikatz

作用 ：mimikatz 是由 Benjamin Delpy 开发的著名开源工具，广泛用于从 Windows 内存中提取凭证。
功能：

• 从 LSASS 进程内存中提取明文密码、NTLM 哈希、Kerberos 票据、PIN 码等。

• 支持票据传递（Pass-the-Ticket）、黄金票据（Golden Ticket）等高级攻击技术，是红队操作的核心工具。
  常用命令：

• 提取当前登录用户的明文密码：

  mimikatz # sekurlsa::logonpasswords

• 导出所有 Kerberos 票据：

  mimikatz # kerberos::list /export

4.samdump2

作用 ：samdump2 是一个用于从 Windows SAM 和 SYSTEM 注册表文件中提取密码哈希的工具。
功能：

• 通过读取离线的 SAM 和 SYSTEM 文件，提取本地用户的 NTLM 哈希值。

• 常用于配合 JohnTheRipper 或 hashcat 等工具进行离线密码破解。
  常用命令：

• 提取 SAM 文件中的哈希：

  samdump2 SAM SYSTEM > hashes.txt

• 结合 JohnTheRipper 破解：

  john --format=nt hashes.txt

总结与使用建议

• mimikatz：首选工具，功能最强大，适合在线内存提取和高级凭证攻击。
• chntpw：适合离线密码重置和注册表编辑，常用于物理访问或取证场景。
• creddump7：适合从离线注册表文件中批量提取凭证，脚本化能力强。
• samdump2：轻量级，适合快速提取本地用户哈希，配合破解工具使用。

这些工具在渗透测试中需谨慎使用，应仅在授权范围内操作，避免非法入侵。同时，防御方可通过启用 LSA 保护、限制管理员权限、监控异常进程等方式防范此类工具的攻击。

（四）Password Cracking（密码破解）

图中展示的是 Kali Linux 系统中**Password Cracking（密码破解）**分类下的四个核心工具：hashcat 、john （John the Ripper）、ophcrack 和 ophcrack-cli。这些工具在渗透测试、安全审计和CTF竞赛中用于破解各类加密哈希、恢复丢失密码或评估系统安全性，覆盖从本地系统到文件加密的多场景需求。

1.hashcat

hashcat 是当前世界最快、最强大的开源密码恢复工具，支持超过 300 种哈希算法，利用 GPU 加速实现高效破解。它提供多种攻击模式，包括字典攻击、掩码攻击、组合攻击和规则攻击，适用于 MD5、SHA、NTLM、WPA2 等多种加密类型，广泛用于专业安全研究和取证分析。

常用命令

• 字典攻击（破解 MD5 哈希）：

  hashcat -m 0 -a 0 hash.txt wordlist.txt

  • -m 0：指定哈希类型为 MD5。
  • -a 0：使用字典攻击模式。
  • hash.txt：包含目标哈希的文件。
  • wordlist.txt：密码字典文件。

• 掩码攻击（破解已知结构的密码，如8位数字）：

  hashcat -m 0 -a 3 hash.txt ?d?d?d?d?d?d?d?d

  • -a 3：使用掩码攻击模式。
  • ?d：表示一位数字（0-9）。

• 组合攻击（结合两个字典生成密码）：

  hashcat -m 0 -a 1 hash.txt wordlist1.txt wordlist2.txt

  • -a 1：使用组合攻击模式。

• 规则攻击（基于字典生成变形密码）：

  hashcat -m 0 -a 0 hash.txt wordlist.txt -r rules/best64.rule

  • -r：指定规则文件，用于对字典中的密码进行变形（如添加数字、符号等）。

2.john

john 是 John the Ripper 的命令行版本，是一款开源密码安全审计工具，最初用于 Unix/Linux 系统，现支持 Windows、macOS 等多平台。它通过暴力破解、字典攻击和自定义规则破解加密密文，覆盖 DES、MD5、SHA 等算法，并可扩展至 ZIP、PDF、Office 文档等文件格式的密码恢复。

常用命令

• 字典攻击（破解 Unix 密码文件）：

  john --wordlist=wordlist.txt /etc/shadow

  • --wordlist：指定密码字典。
  • /etc/shadow：目标密码文件（需结合 /etc/passwd 使用）。

• 增强模式（自动尝试多种攻击方式）：

  john --incremental hash.txt

  • --incremental：启用增量模式，自动遍历所有可能的密码组合。

• 破解指定格式的哈希（如 MD5）：

  john --format=raw-md5 --wordlist=wordlist.txt hash.txt

  • --format：指定哈希格式，如 raw-md5、nt（Windows NTLM）等。

• 查看已破解的密码：

  john --show hash.txt

  • --show：显示已成功破解的密码及其对应的哈希。

3.ophcrack

ophcrack 是一款基于彩虹表的 Windows 密码破解工具，专用于破解 LM 和 NT 散列。它通过预计算的彩虹表实现快速破解，对 14 位以内纯字母密码的破解成功率高达 99.9%，可在数秒内完成。工具支持从 SAM 文件提取哈希，并提供图形化界面，集成于 Kali Linux。

常用命令

• 图形界面启动：

  ophcrack

  • 启动后可加载哈希文件（如从 Windows SAM 文件导出）或直接导入彩虹表进行破解。

• 加载指定彩虹表：

  ophcrack -l /path/to/rainbowtables/

  • -l：指定彩虹表目录，用于加速破解过程。

4.ophcrack-cli

ophcrack-cli 是 ophcrack 的命令行版本，功能与图形版一致，但更适合自动化脚本、远程操作或无图形界面的服务器环境。它同样依赖彩虹表进行破解，适用于批量处理或集成到渗透测试工作流中。

常用命令

• 破解指定哈希文件：

  ophcrack-cli -f hash.txt -d /path/to/rainbowtables/

  • -f：指定包含哈希的文件。
  • -d：指定彩虹表目录。

• 列出支持的彩虹表：

  ophcrack-cli -L

  • -L：显示所有可用的彩虹表列表，便于选择合适的表进行破解。

（五）Password Profiting & Wordlists（密码分析与字典生成）

图中展示的是 Kali Linux 系统中用于密码分析与字典生成 的四个核心工具：cewl 、crunch 、rsmangler 和 wordlists。它们在渗透测试的"信息收集"与"密码破解"阶段发挥关键作用，帮助安全人员根据目标特征生成定制化密码字典，从而显著提高暴力破解的成功率。

1.cewl

cewl 是一款基于 Ruby 开发的网站内容爬取字典生成工具，它通过深度爬取指定 URL 的网页内容（如文本、元数据、邮件地址），提取关键词并生成高频词汇列表，常用于针对特定目标的定制化密码攻击。

常用命令

• 爬取指定网站并生成字典文件：

  cewl -d 2 -m 4 -w dict.txt http://example.com

  • -d 2：设置爬取深度为 2 层。
  • -m 4：设置最小单词长度为 4。
  • -w dict.txt：将结果保存到 dict.txt 文件。

• 包含邮件地址和元数据：

  cewl -e -a -w dict_with_email.txt http://example.com

  • -e：提取邮件地址。
  • -a：包含元数据（如标题、描述）。

2.crunch

crunch 是一款纯字符组合字典生成器，支持按指定长度、字符集、模式生成所有可能的密码组合，适用于已知密码结构但未知具体值的场景，如固定位数的数字密码、特定格式的混合密码等。

常用命令

• 生成 6 位纯数字密码字典：

  crunch 6 6 0123456789 -o numeric_6.txt

  • 6 6：最小和最大长度均为 6。
  • 0123456789：指定字符集为数字。

• 生成 8 位混合密码（小写+数字+符号）：

  crunch 8 8 -t @@@@@@@@ -o mixed_8.txt

  • -t @@@@@@@@：使用模板，@ 代表小写字母，% 代表数字，^ 代表符号。

• 自定义字符集生成：

  crunch 4 6 abc123 -o custom.txt

  • abc123：自定义字符集，生成长度 4 到 6 的所有组合。

3.rsmangler

rsmangler 是一款单词变形字典生成工具，它接收一个基础单词列表，通过大小写转换、添加后缀（如年份、符号）、逆序、Leet 语（如 a→@, e→3）、重复、拼接关键词等方式生成大量变体，非常适合基于已知信息（如人名、公司名）进行社会工程学攻击。

常用命令

• 对输入单词进行默认变形并输出到文件：

  cat words.txt | rsmangler > mutated_words.txt

• 指定变形规则（如添加 00-99 年份后缀）：

  cat words.txt | rsmangler -p "19%%" -p "20%%" > with_years.txt

  • -p "19%%"：添加 1900-1999 年份后缀。

• 生成首字母缩写和排列组合：

  echo "John Doe" | rsmangler -a > johndoe_variants.txt

  • -a：生成所有排列和首字母缩写（如 J.D., JohnD, DoeJ 等）。

4.wordlists

wordlists 并非单一工具，而是 Kali Linux 中预置的密码字典集合 ，位于 /usr/share/wordlists/ 目录下，包含常见密码、用户名、弱口令、语言词库、专业术语等，是渗透测试的基础资源。

常用操作

• 列出系统内置字典：

  ls /usr/share/wordlists/

• 使用字典进行密码破解（以 John the Ripper 为例）：

  john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

• 压缩字典以节省空间：

  gzip /usr/share/wordlists/rockyou.txt

• 解压使用：

  gunzip /usr/share/wordlists/rockyou.txt.gz

总结与使用建议

• cewl 适合针对特定网站或组织的定制化字典生成，利用目标公开信息提高命中率。
• crunch 适合已知密码结构（如长度、字符类型）时的穷举式字典生成，但文件体积可能巨大。
• rsmangler 适合基于已知基础词（如人名、公司名）进行社会工程学变形，生成高概率密码。
• wordlists 是基础资源，建议配合其他工具使用，如 rockyou.txt 是最常用的密码字典之一。
• 组合使用 效果更佳，例如用 cewl 爬取目标网站生成基础词，再用 rsmangler 变形，最后用 hashcat 或 john 破解。
• 注意磁盘空间，crunch 生成的字典可能达 GB 级，建议在 SSD 或大容量分区操作。

（六）WiFi（无线安全）

图中展示的是 Kali Linux 系统中WiFi 分类下的五个无线安全审计与密码破解工具：aircrack-ng 、bully 、fern-wifi-cracker 、pixiewps 和 reaver。这些工具主要用于无线网络渗透测试，涵盖从 WEP/WPA 密码破解到 WPS 漏洞利用的完整攻击链，是红队和安全研究人员评估无线网络安全性的重要装备。

1.aircrack-ng

aircrack-ng 是无线安全领域最著名的工具套装，包含多个子工具，用于监听、捕获、注入和破解无线网络数据包。它支持 WEP 和 WPA/WPA2-PSK 密码恢复，通过捕获握手包或数据流量，结合字典或暴力破解恢复密码。

常用命令

• 启动监听模式：

  airmon-ng start wlan0

• 捕获数据包：

  airodump-ng mon0

• 破解 WPA/WPA2 密码：

  aircrack-ng -w wordlist.txt -b 00:11:22:33:44:55 capture.cap

  • -w：指定密码字典。
  • -b：指定目标 BSSID。
  • capture.cap：包含握手包的捕获文件。

2.bully

bully 是一个专门用于WPS（Wi-Fi Protected Setup）漏洞利用的工具，用于破解启用 WPS 功能的路由器 PIN 码，进而获取 WPA/WPA2 密码。它比 reaver 更高效、更稳定，支持多种攻击模式，尤其适合现代路由器。

常用命令

• 扫描并攻击 WPS PIN 码：

  bully mon0 -b 00:11:22:33:44:55 -c 1

  • mon0：监听模式网卡。
  • -b：指定目标 BSSID。
  • -c：指定信道。

• 使用特定 PIN 码尝试破解：

  bully mon0 -b 00:11:22:33:44:55 -p 12345670

  • -p：指定要尝试的 WPS PIN 码。

3.fern-wifi-cracker

fern-wifi-cracker 是一个图形化无线安全审计工具，基于 Python 和 Qt 开发，集成了 aircrack-ng 功能，提供直观的界面用于扫描、攻击和破解 WEP/WPA/WPS 网络。它适合不熟悉命令行的用户，支持自动化的 WPS 攻击和会话劫持。

常用命令

• 启动图形界面：

  fern-wifi-cracker

• 无界面模式运行：

  fern-wifi-cracker --no-gui

• 指定网卡启动：

  fern-wifi-cracker -i mon0

  • -i：指定要使用的无线网卡。

4.pixiewps

pixiewps 是一个离线 WPS PIN 码破解工具，利用"Pixie Dust"漏洞，通过分析从 reaver 或 bully 获取的 WPS 交换数据，离线计算出 WPS PIN 码，从而绕过在线暴力破解的速率限制，大幅提高破解速度。

常用命令

• 离线破解 WPS PIN 码：

  pixiewps -e 00:11:22:33:44:55 -r reaver_output.txt

  • -e：指定目标 BSSID。
  • -r：指定 reaver 输出的抓包文件。

• 指定 PIN 码范围：

  pixiewps -p 12345670 -b 00:11:22:33:44:55

  • -p：指定要测试的 PIN 码。

5.reaver

reaver 是最早用于WPS 暴力破解的工具，通过穷举 WPS PIN 码（8 位数字）来恢复 WPA/WPA2 密码。虽然效率低于 bully，但仍是 WPS 漏洞利用的经典工具，支持多种攻击选项和自定义参数。

常用命令

• 启动 WPS 攻击：

  reaver -i mon0 -b 00:11:22:33:44:55 -c 1

  • -i：指定监听网卡。
  • -b：指定目标 BSSID。
  • -c：指定信道。

• 指定 PIN 码攻击：

  reaver -i mon0 -b 00:11:22:33:44:55 -p 12345670

  • -p：指定要尝试的 WPS PIN 码。

6.wifite

wifite 是一个自动化无线攻击框架，整合了 aircrack-ng、reaver、bully 等工具，可自动扫描、选择目标、执行攻击并破解 WEP/WPA/WPS 网络，适合快速审计多个无线网络，减少手动配置的复杂性。

常用命令

• 启动自动化攻击：

  wifite

• 指定网卡和信道：

  wifite -i mon0 -c 1

  • -i：指定无线网卡。
  • -c：指定信道。

• 仅攻击 WPA 网络：

  wifite --wpa

  • --wpa：仅针对 WPA/WPA2 网络执行攻击。