弱口令爆破总结

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了弱口令爆破总结相关的知识,希望对你有一定的参考价值。

参考技术A (1)burpsuite(爆破网页)

(2)hydra(有linux、windows、mca版)——建议使用kail自带的

(3)metasploit(有对应的模块)

(1)https://www.bugku.com/mima/pass.php   社工生成字典

         https://www.bugku.com/mima/

(2)“站在别人的肩膀上”,通过各种途径收集别人研究的常用弱口令

  https://github.com/search?q=fuzzdicts

https://github.com/search?q=fuzzdb

原文地址:https://www.lstazl.com/设置密码的十大规律/

规律一:绝大多数人都高估了破译密码的难度和低估了自己密码存在的风险,因而,往往把能够破解密码的人当成神秘人物,同时基本很少有修改自己密码的习惯。

规律二:绝大多数人一生常用的密码通常不会超过3个,如果你破解了某人的QQ密码,很可能你也破解了他的论坛密码、邮箱密码、游戏账号密码……

规律三:从性别上看,男性的密码比女性的要更加难破;从年龄层面上看,年轻人的密码比35岁以上的人群的密码更加难破;从受教育层度上看,大专以上学历的人群相对于 以下学历人群,密码破解难度更大,且大专、本科、硕士学历的人群密码破解难度基本上没有什么区别;从专业角度上看,理科生的密码比起文科生要难破一些,计 算机相关专业的学生密码破解难度最大。

规律四:绝大多数人的密码,基本上都是有确定含义的,随机乱码组成的密码极度罕见(应该说我从来没有遇到过,不过如果是这种密码,我这种基于心理的思路,可以确定毫无办法)。

规律五:大多数人的密码要么纯粹用数字组成,要么纯粹用小写字母组成,要么用数字加字母组成,只有很少人会采用下划线,极少数的人字母区分大小写。

规律六:密码所采用的字母中,很多都是姓名拼音、名字拼音的全部或首字母缩写,某一图腾的英文单词(通常是名词)——图腾的含义后面会提到,某一单位名的首字母缩写,以及某一地名的拼音或英文及其缩写。

规律七:密码所采用的数字中,很多有关日期,且该日期对密码所有人拥有极其重要的意义,还有很多与地名和电话号码有关。

规律八:使用下划线的密码,下划线通常只出现一次,一般这类密码的主人密码保护意识很强,其密码往往还包含数字和字母,这种密码的下划线的位置通常处在数字和字母的分隔处;字母区分大小写的密码,大写通常只出现一次,并且很多时候都出现在密码的开头,极少数出现在结尾。

规律九:除非所登录系统有严格的位数限制,否则密码的位数通常是8位到11位,7位以下的密码和12位以上的密码较为少见。

规律十:公 共网络的密码通常很少包含个人信息,大多数是单位名称的全部或某一部分的中文或英文全称,或者英文或拼音的首字母缩写,外加拥有特定含义的数字,这种数字 通常是电话号码或者门牌号,另外,有些密码是上述特定字母或其缩写的简单重复,如:12341234、abcabcabc;个人密码则很少出现上述简单重 复的情况。

一、惰性 从上述很多条规律都可以看出人或多或少存在惰性,比如很少人会定期修改密码;再如很少人密码会区分大小写,因为这样的话必须进行至少一次大小写切换;再如各种不同账号使用同一密码都是人存在惰性的有力证明。

二、自我意识 自我意识很多时候体现在使用名字的密码上,通常,自我意识较为强烈的人,很看重自己的名号或者名誉,因而,其密码一旦使用自己的名字,往往就是名字的全拼, 较少使用缩写,更不会省略自己的姓氏,另外,这类人也有很大一部分使用的是某一图腾的英文单词,例如某人非常崇拜某一偶像,那么,这个偶像就是他的图腾, 其密码很有可能与这个图腾有关。

三、自我保护意识 从公用密码很少包含个人信息这一点很容易印证自我保护的问题,一般来说,当某一网管或其他特定工作性质的人需要为某公用账号设置密码时,首先需要考虑的是密 码易为别人所理解和记忆,然而,一个人在考虑秘密之类的东西时,首先联想的是他自己身上的东西,由于这些东西涉及其个人隐私,因而很容易被他的潜意识所排 除。

四、爱与责任感 不少人的密码会使用伴侣和孩子的姓名或生日、结婚纪念日、自己公司成立日期等诸如此类的信息,这很明显地体现了爱和责任感。

五、完美主义倾向 完美主义倾向在密码中主要体现在对称与平衡上面,这从名字加日期的组合式密码和带下划线的密码可以很容易看出来,例如,某人叫做张三,生日是1980年1 月1日,那么,如果采用前者,其密码往往是zhangsan19800101或者zhangsan8011,不大可能设置成 z1h9a8n0g0s0a1n01这种类型;如果使用下划线密码,则很大可能会采用zhangsan_19800101或者 zhang_san_19800101,不大可能采用_zhangsan19800101或者z_hangsan19800101这种类型。

以上是关于弱口令爆破总结的主要内容,如果未能解决你的问题,请参考以下文章

msf各种弱口令爆破

web安全弱口令&爆破&协议对象&字典生成

常见端口漏洞合集

tomcat弱口令漏洞_爆破工具

python ssh弱口令爆破多线程脚本及遇到的一些错误与问题

弱口令到底是什么牛马?