×

#每日一记# 弱口令密码爆破
  

新手275718 6014

{{ttag.title}}
1、 最常见的弱口令检测方法:使用Burp的intruder模块
        先使用代理模式抓包,然后右键选择Send to Intruder

在Intruder模式中设置密码变量(假定已知管理员账户为**,同时也可锁定密码爆破用户名,或者同时跑用户名&密码字典)


  在payloads选项卡中选择load选择密码路径,加载密码字典。然后点击右上角的start attack开始尝试爆破**账户密码


根据返回包长度的不同,发现**账户的弱口令密码为**

此外还有爆破SSH,FTP等弱口令的工具,使用方法大同小异,前段时间写过一篇爆破SSH的文章,感兴趣的可以看一下。
2、 超级弱口令检查工具(https://github.com/shack2/SNETCracker
       这是一款Windows平台的弱口令审计工具,支持批量多线程检查,可快速发现弱密码、弱口令账号,密码支持和用户名结合进行检查,大大提高成功率,支持自定义服务端口和字典。
       首先选择需要检查的服务(可多选),然后在目标处输入检查的IP、域名或IP范围,可以是单个IP或IP段,IP范围格式必须为:***。也可导入地址,导入地址必须是单个IP一行,然后可设置账户字典或密码字典,可以选择字典文件,也可自己填写单个账户或密码,其他选项根据需求选择,点开始即可检查。

3、web_pwd_common_crack
      我们团队大佬开发的web通用弱口令破解脚本,旨在批量检测那些没有验证码的管理后台
      安装方式
      从Github上拖下来
      安装requirements.txt依赖
      pip install -r requirements.txt

运行脚本即可
      python web_pwd_crack.py url.txt 50  
      url.txt为待检测URL地址,可以自己写个脚本批量从搜索引擎获取,也可以自己用目录枚举工具去搜集,50为线程数,默认为50。

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

新手480107 发表于 2020-9-10 17:39
  
感谢分享
简单思考 发表于 2020-9-10 22:29
  
感谢分享
新手229660 发表于 2020-9-11 10:19
  
感谢分享
新手275718 发表于 2020-9-13 23:19
  
感谢大家的支持
简单思考 发表于 2020-9-14 14:07
  
感谢分享
新手480107 发表于 2020-9-14 14:08
  
感谢分享
小爽 发表于 2020-9-24 20:51
  

感谢分享
小爽 发表于 2020-9-27 23:39
  
感谢分享
新手623937 发表于 2020-10-24 18:40
  
感谢分享
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人