码迷,mamicode.com
首页 > 其他好文 > 详细

弱口令攻击

时间:2016-04-20 17:51:00      阅读:742      评论:0      收藏:0      [点我收藏+]

标签:

弱口令攻击三部曲

 

1、 手动,经验攻击

2、 工具,弱密码破解

3、 工具,彩虹表破解

 

对于第1种,大家就手动敲吧

 

遇到主机:administrator/123456administrator /abcd-1234guest/guestroot/root

遇到web后台:admin/adminadmin/admin888phpcms/phpcms等等

遇到中间件:admin/adminmanager/adminroot/adminweblogic/weblogic等等

遇到数据库:root/rootroot/root123root/123456sa/sasa/assystem/managerscott/tiger

 

其实,就是利用人性的一些弱点来攻击web站点(人们很懒,懒得改密码)。

 

对于第2种,大家可以使用burpsuite-intruder或者hydra等工具直接加载wordlist弱口令破解(前提是无验证码,或者绕过验证码,或者没有登录次数限制)。

 

wordlist弱口令大家可以在网上下载,针对不同的系统,下载不同的wordlist,这样,破解起来,成功的几率会更大一些。

 

对于第3种,是在实在没有办法了而且系统很重要的情况下,才可以采用的,关于rainbow table的暴力破解,大家可以自行百度学习,在此,不再赘述。

 

且看下面的例子,都是些简单的破解,并没有涉及到rainbow table

 

例1, 联想hr站弱口令攻击

技术分享

输入:DONGZY/abcd-1234,登陆成功

技术分享

而且,还可以直接修改密码

技术分享

你说这开发是怎么想的,你至少得验证一下身份,原始密码什么的啊,双因素验证不会吗,还是那句话:人们很懒,安全问题才会产生。

 

记得,自己的密码一定要够安全。

弱口令攻击

标签:

原文地址:http://www.cnblogs.com/windclouds/p/5413436.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!