×

【安全课堂】浅谈弱口令的危害
  

深信服安全产品研发 24495

{{ttag.title}}
作者简介:小齐子,千里目安全实验室首席运行官,集美貌与才华于一身,擅长拖库撰文,爱好各种黑技术。



123456,芝麻开门——浅谈弱口令的危害

故事要从一次艰难的渗透测试说起(以下案例均为授权测试),实践证明,要想进行一次完美的渗透,网站漏洞跟弱口令更配!




千里百科                                                

通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令

常见弱口令有:

1、数字或字母连排或混排,键盘字母连排(如:123456,abcdef,123abc,qwerty,1qaz2wsx等);

2、生日,姓名+生日(利用社工非常容易被破解);

3、短语密码(如:5201314,woaini1314等)。

弱口令很容易被他人猜到或破解,所以如果你使用弱口令,就像把家门钥匙放在家门口的垫子下面,这种行为是非常危险的。

故事背景                                                  

这是一个强大的订票系统,拥有20w注册用户


第一步 取数据
网站存在严重的SQL注入漏洞,但是却无法完整的拖取整个数据库,一直卡在“探测到大量的相应结果,请稍等一会”。于是,我等了一天,没有任何结果返回!!!



第二天,我把数据取出来了,分别拖出20w用户名和20w密码,而且每列取出来的数据是按字母和数字顺序正序排列好的,账号和密码完全无法匹配。



第二步  匹配数据
换个思路试试,上网页上看看,说不定会有新发现。工具不靠谱,只能靠我聪明的小脑瓜。先注册个账号:123456/123456,在网页上进行手工注入,用户名曝密码

union selectCustomer_Password  from customer whereCustomer_UserName = "123456"--


有数据返回!这样的话写个脚本遍历一下用户名就可以匹配到相应的密码,我真是太聪明了。
我的密码是123456,然而加密后变成7c1b80fe3ef17dc0,虽然是16位,但并不是常见的MD5加密,可见管理员心思很别致,竟然用自定义加密方法,试了多个,依然无法识别


第三步  解密数据

          得到20w无法解密的数据,对网站的实际作用为零。再换个思路想一想,我的密码是123456,那是因为我比较懒,但是我肯定不是最懒的,鉴于人们的惰性思维,弱密码肯定很多,用密码来找用户好了,先试一试万能的123456,密文是7c1b80fe3ef17dc0
union select  Customer_UserName fromcustomer where Customer_Password = "7c1b80fe3ef17dc0"--

一股洪荒之力喷涌而出,即使是我读书多,见识广,也着实受到了惊吓,粗统计一下,共有2855个用户使用“123456”作为密码!




再试试我大天朝人民最喜欢的 888888 和 666666 ,得到的用户名分别有13372个和80个,看来由于文化差异造成对数字的喜好差别还是很大的。上网搜索一下网站当地人民最喜欢的幸运数字,果然是8。记得2015年公布过最弱密码排行榜,现在取前15名进行对比(此网站要求密码6-18位,不在此范围的密码不参与评比)




由此看来,受世界欢迎的弱密码并不适用于中国国情,更不适用于地域民俗文化差异巨大的各省人民。
就该网站为试验点,调查当地人民弱密码缺省普遍性,以下给出前十名:




世界排名第二的password并没有受到国人的追捧,在网站测试中发现只有9个人使用password作为密码,国人最爱的弱密码还是连号数字以及幸运数字的叠加。

通过这种方法,我利用常见弱密码猜解到了将近一半用户的密码,随便登录试试就可以看到大量的车票、机票、酒店订单。网站内包含的信息量远远大于20w,个人信息泄露情况非常严重。




弱口令案例梳理                                       

这个案例让我想起了2015年春运前夕震惊全国的12306数据泄露事件,传闻称黑客利用“撞库”手段获取131653条用户数据。通过对网络公开的泄露数据进行分析发现,弱密码无论在任何泄密事件中都具有举足轻重的地位,以下是安全爱好者对12306泄露密码的统计结果:



其中,密码中包含有 123 数字的,出现 11213 次 ;密码中包含有 520 数字的,出现 4549 次 ;密码中包含有 123456 数字的,出现 3236 次 ;密码中包含有 1314 数字的,出现 3113 次 ;密码中包含有 aini 的,出现 877 次


如果说某公司使用弱口令做密码祸不及他人,那么管理者使用弱口令做密码造成的群体性危害又将由谁买单?

千里目安全实验室成立以来,发现多起群体性危害事件都是由弱口令导致。12月份,千里目安全实验室检测到某省大量政府网站使用动易建站系统,该系统后台登录使用弱口令Admin/admin888作为管理员默认账户,经过确认,共有28家政府网站管理员未更改原始账号密码,并且将近一半网站已被入侵,管理员头像遭篡改,以管理员身份发表测试文章。

            


今年1月份,某省省级管理网站,因某管理者使用123456弱口令作为密码,不仅造成该管理人员所在组织内部人员信息全部泄露,如果结合网站其他漏洞进行利用,可导致全网站72w组织成员身份证号,联系方式,家庭住址等信息全部泄露。



搜索wooyun漏洞公开平台,由弱口令引发的信息泄露事件每天都在上演,您的信息在不经意间已被多次倒卖。经常收到垃圾短信或者推销电话就是强有力的证明。不论是个人还是管理者,使用弱口令做密码都是及其不负责任的表现。




安全建议                                                   

1、针对管理人员,应强制其账号密码强度必须达到一定的级别;
2、建议密码长度不少于8位,且密码中至少包含数字、字母和符号;
3、不同网站应使用不同的密码,以免遭受“撞库攻击”;
4、避免使用生日,姓名等信息做密码,远离社工危害。

本次研究结果仅供参考,存在漏洞的网站已经及时上报相关单位进行修复。对于使用弱密码的用户,我只想说,赶快改密码吧,你们的秘密已经被我发现了。

那么什么才是强密码呢,像我这样,密码长度不少于8位且密码中至少包含数字、字母和符号S4ngF0r@Qiqi#(sangfor@qiqi#),多么完美的密码!



看完以上内容,您有什么想说的?
千里目安全实验室美女研发跟您约谈:您对弱密码的看法,同时欢迎分享您遇到的弱密码被破解的案例!

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

Sangfor_闪电回_朱丽 发表于 2016-4-11 10:09
  
密码太多,习惯性地设置简单的密码,听了美女的解说,觉得还是改下比较好,哪怕自己私下再找个本子记下来!!!
大蒜头 发表于 2016-4-11 10:14
  
涨姿势咯
千里目_小齐子 发表于 2016-4-11 14:10
  
自家妹子的文章,感兴趣的可以关注我们的微信公众账号,第一时间获取更多优质好文分享
曹小麦 发表于 2016-4-11 14:34
  
好厉害,美女黑客求带!
SteveNiaobs 发表于 2016-4-11 15:59
  
小齐子,么么哒,美女黑客  图片暴露了你的飒爽英姿。文章深入且不失机智,赞一个
千里目_甲鱼 发表于 2016-4-11 16:29
  
齐齐威武~
Anony 发表于 2016-4-12 11:52
  
针对弱密码的问题:建议不要使用相同的账号和密码,要经常更改自己的密码,并且加强强度。举一个简单的例子,家用WIFI,如果使用的弱口令密码,通过抓包获取路由器和终端的交互数据包,然后进行分析和暴力破解,如果是弱密码的话基本上不用大字典就可以简单的跑出来,甚至获取小路由器的PIN码。所以,密码一定要复杂并且经常更改,养成一个好的安全意识。
一帆风顺 发表于 2016-4-12 12:38
  
其实弱密码这么多人还在使用是因为复杂的密码太难记忆。我之前看过一个笔记本,比较有意思~分享给大家
---------------------------------------------------------
现在有这样一本神奇的笔记本:Enigmaze 密码本,它能教你设置出超级复杂的密码,而只需要用最简单的方式去记忆。此外还能非常安全的储存密码。其中最棒的是,当你每次使用密码的时候,都感觉在破解密码,是不是很激动哇。Enigmaze 的命名源自于德国发明的恩尼格玛密码机 Enigma,二战时德军曾使用这种密码机传递机要信息。
从外表上看,Enigmaze无异于普通硬皮笔记本,不过它却暗藏玄机。打开笔计本,我们可以看见密密麻麻的蜂巢状拼接在一起的表格,混杂着各种字母、符号,感觉和看天书一样。Enigmaze 密码本一共有88页,其中77页都印有完全不同的表格,而最后的10页是空白的供用户做笔记。
创建、破解密码的招式
用这本 Enigmaze 密码本创建以及破解密码的方式就是看自己心情。
初级招式:
用隐形墨水笔在笔记本上勾勒出密码,可以是直线、斜线、折线。破解方式就是用紫外线灯照射。那么下图中的密码就是:3^0O?KM?^3!L,顺序自己定啦。
中级招式:
不借助隐形墨水笔和紫外线灯,在笔记本上假想出两条直线,把直线两端的字母和数字设为明文,比如E2K4,那么下图右侧的密码就是peNY3!:~%UqT,是不是很有趣呢?
高级招式
设置容易记忆的明文,比如 password,是不是特别好记,然后把表格最下方的字母定为规则,用隐形墨水笔在字母P、A、S、W、O、R、D的竖行上选择并填涂出暗文。破解方式就是用紫外线灯照射后按照线索破解出密码。那么上图左侧的密码就是B^##%S.),你看出来了吗?
有了这本密码本,你可以用各种各样的方式去创建出无数种复杂的密码,炫出你的方式。
安全的密码储存方式
所以说,就算别人看了Enigmaze 密码本,又或者是他有这本密码本,他也不知道我的密码,因为它又不知道规则,Enigmaze 密码本可以说是一个存放密码相对安全的方式。
心动的小伙伴如果你同时还属于心灵手巧类型的话,可以试着自己去DIY一本类似的密码本哦。
一套完整的 Enigmaze 密码本包括一本笔记本、一支隐形墨水笔、一个紫外线灯和一张密码透明卡,其中密码透明卡就是密码本的一页,使用方法是一样的,就为了方便携带

1.png (328.31 KB, 下载次数: 406)

1.png
Charles 发表于 2016-4-12 12:55
  
主要是用得到密码的地方太多,容易弄混,所以大部分的密码都是用相同的。我给自己弄了几个密码,分别是低级别,中级别,高级别的,这样就容易记住了,看使用场景就知道自己用的是哪个密码了
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
每日一问
干货满满
新版本体验
【 社区to talk】
技术笔记
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人