一.弱口令的定义
弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的互联网账号受到他人控制,因此不推荐用户使用弱口令产生原因 这个应该是与个人习惯相关与意识相关,为了避免忘记密码,使用一个非常容易记住的密码,或者是直接采用系统的默认密码等。相关的安全意识不够,总认为不会有人会猜到我这个弱口令的,相关的安全意识不够,总认为不会有人会猜到我这个弱口令的。
二.弱口令的危害通过系统弱口令,可被黑客直接获得系统控制权限。
弱口令解决办法强制对所有的管理系统账号密码强度必须达到一定的级别。不可在使用简单的admin、123456等弱密码了,修改密码为复杂密码并加密保存,建议密码包含大小写字母,数据和特殊符号,密码长度不低于八位,如果网站存在数据泄漏漏洞(如sql注入漏洞),务必修复漏洞。。
设置密码通常遵循以下原则:
(1)不使用空口令或系统缺省的口令,这些口令众所周之,为典型的弱口令。
(2)口令长度不小于8 个字符。
(3)口令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.tzf.)。
(4)口令应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个,那么该字符不应为首字符或尾字符。
(5)口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail 地址等等与本人有关的信息,以及字典中的单词。
(6)口令不应该为用数字或符号代替某些字母的单词。
(7)口令应该易记且可以快速输入,防止他人从你身后很容易看到你的输入。
(8)至少90 天内更换一次口令,防止未被发现的入侵者继续使用该口令。
弱口令分类公共弱口令公共弱口令就是常见的密码,公共弱口令也就是根据大量的密码数据统计得出的出现频率较高弱口令,关于这方面的弱口令统计结果有很多,在此我就列举一些出现频率比较高的公共弱口令:
(Top 100):
123456 a123456 123456a 5201314 111111 woaini1314 qq123456 123123 000000 1qaz2wsx 1q2w3e4r
qwe123 7758521 123qwe a123123 123456aa woaini520 woaini 100200 1314520 woaini123 123321
q123456 123456789 123456789a 5211314 asd123 a123456789 z123456 asd123456 a5201314 aa123456
zhang123 aptx4869 123123a 1q2w3e4r5t 1qazxsw2 5201314a 1q2w3e aini1314 31415926 q1w2e3r4
123456qq woaini521 1234qwer a111111 520520 iloveyou abc123 110110 111111a 123456abc w123456
7758258 123qweasd 159753 qwer1234 a000000 qq123123 zxc123 123654 abc123456 123456q qq5201314
12345678 000000a 456852 as123456 1314521 112233 521521 qazwsx123 zxc123456 abcd1234 asdasd
666666 love1314 QAZ123 aaa123 q1w2e3 aaaaaa a123321 123000 11111111 12qwaszx 5845201314
s123456 nihao123 caonima123 zxcvbnm123 wang123 159357 1A2B3C4D asdasd123 584520 753951 147258
1123581321 110120 qq1314520
对于网站后台而言,一般为:
admin
manager
admin123
admin888
admin666
具体来说,不同的后台类型拥有不同的弱密码:
数据库(phpmyadmin):账号:root,密码:root、root123、123456
tomcat:账号:admin、tomcat、manager,密码:admin、tomcat、admin123、123456、manager
jboss:账号:admin、jboss、manager,密码:admin、jboss、manager、123456
weblogic:账号:weblogic、admin、manager,密码:weblogic、admin、manager、123456
条件型个人弱口令往往与这个人的个人信息(姓名,生日,手机号,特殊昵称,爱好,社交软件账号,常用username,邮箱...),关系成员(家庭成员,男女朋友...),所处环境(车牌号,公司信息比如公司名称,公司成立时间或地点,公司domain等...),还有特殊的指定字符(数字,单词...),在这里我也列举一些经常出现的组合:我们可以使用这个猜密码的网站来生成条件弱口令字典。
比如我们知道一个人,他的信息如下:
姓名:王小二 邮箱:412391882@qq.com
英文名:twowang 手机号:110
那我们就可以在这个网站上输入这些信息,然后点击下方的“提交”
然后我们就得到了这个最有可能的密码:
另提示一点:当系统要求密码组合必须包含大写字母时候,根据中国人密码设定习惯,会有83%的人将大写字母,且是唯一存在的大写字母放在第一位
弱口令实列普通的弱口令猜测比如说,我们使用这样一段代码来演示弱口令漏洞,它模拟了某个系统的后台。
function showForm() { ?>
}
$un = @$_POST['un'];
$pw = @$_POST['pw'];
if($un == '' && $pw == '')
showForm();
else if($un == 'admin' && $pw == 'admin888')
echo '登录成功';
else {
showForm();
echo '登录失败';
}
把它保存为lesspass.php,将其部署后访问http://localhost/lesspass.php。
接下来我们假装不知道真实密码,开始尝试。对于管理员账户,用户名一般是admin,密码可能为admin、admin123、admin888、123456、123abcadmin等等。首先输入admin和admin,尝试失败:
之后是admin和admin123,还是失败。最后尝试admin和admin888,成功。
三.弱口令漏洞提交步骤
通过IP反查域名,在微步在线搜索IP所涉及的域名,然后在ICP备案网站查询域名具体信息,查找到域名所属单位名称,然后在天眼查/爱企查查询公司详细信息,然后在漏洞盒子提交漏洞。
如图:
一.弱口令的定义
弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的互联网账号受到他人控制,因此不推荐用户使用弱口令产生原因 这个应该是与个人习惯相关与意识相关,为了避免忘记密码,使用一个非常容易记住的密码,或者是直接采用系统的默认密码等。相关的安全意识不够,总认为不会有人会猜到我这个弱口令的,相关的安全意识不够,总认为不会有人会猜到我这个弱口令的。
二.弱口令的危害通过系统弱口令,可被黑客直接获得系统控制权限。
弱口令解决办法强制对所有的管理系统账号密码强度必须达到一定的级别。不可在使用简单的admin、123456等弱密码了,修改密码为复杂密码并加密保存,建议密码包含大小写字母,数据和特殊符号,密码长度不低于八位,如果网站存在数据泄漏漏洞(如sql注入漏洞),务必修复漏洞。。
设置密码通常遵循以下原则:
(1)不使用空口令或系统缺省的口令,这些口令众所周之,为典型的弱口令。
(2)口令长度不小于8 个字符。
(3)口令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.tzf.)。
(4)口令应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个,那么该字符不应为首字符或尾字符。
(5)口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail 地址等等与本人有关的信息,以及字典中的单词。
(6)口令不应该为用数字或符号代替某些字母的单词。
(7)口令应该易记且可以快速输入,防止他人从你身后很容易看到你的输入。
(8)至少90 天内更换一次口令,防止未被发现的入侵者继续使用该口令。
弱口令分类公共弱口令公共弱口令就是常见的密码,公共弱口令也就是根据大量的密码数据统计得出的出现频率较高弱口令,关于这方面的弱口令统计结果有很多,在此我就列举一些出现频率比较高的公共弱口令:
(Top 100):
123456 a123456 123456a 5201314 111111 woaini1314 qq123456 123123 000000 1qaz2wsx 1q2w3e4r
qwe123 7758521 123qwe a123123 123456aa woaini520 woaini 100200 1314520 woaini123 123321
q123456 123456789 123456789a 5211314 asd123 a123456789 z123456 asd123456 a5201314 aa123456
zhang123 aptx4869 123123a 1q2w3e4r5t 1qazxsw2 5201314a 1q2w3e aini1314 31415926 q1w2e3r4
123456qq woaini521 1234qwer a111111 520520 iloveyou abc123 110110 111111a 123456abc w123456
7758258 123qweasd 159753 qwer1234 a000000 qq123123 zxc123 123654 abc123456 123456q qq5201314
12345678 000000a 456852 as123456 1314521 112233 521521 qazwsx123 zxc123456 abcd1234 asdasd
666666 love1314 QAZ123 aaa123 q1w2e3 aaaaaa a123321 123000 11111111 12qwaszx 5845201314
s123456 nihao123 caonima123 zxcvbnm123 wang123 159357 1A2B3C4D asdasd123 584520 753951 147258
1123581321 110120 qq1314520
对于网站后台而言,一般为:
admin
manager
admin123
admin888
admin666
具体来说,不同的后台类型拥有不同的弱密码:
数据库(phpmyadmin):账号:root,密码:root、root123、123456
tomcat:账号:admin、tomcat、manager,密码:admin、tomcat、admin123、123456、manager
jboss:账号:admin、jboss、manager,密码:admin、jboss、manager、123456
weblogic:账号:weblogic、admin、manager,密码:weblogic、admin、manager、123456
条件型个人弱口令往往与这个人的个人信息(姓名,生日,手机号,特殊昵称,爱好,社交软件账号,常用username,邮箱...),关系成员(家庭成员,男女朋友...),所处环境(车牌号,公司信息比如公司名称,公司成立时间或地点,公司domain等...),还有特殊的指定字符(数字,单词...),在这里我也列举一些经常出现的组合:我们可以使用这个猜密码的网站来生成条件弱口令字典。
比如我们知道一个人,他的信息如下:
姓名:王小二 邮箱:412391882@qq.com
英文名:twowang 手机号:110
那我们就可以在这个网站上输入这些信息,然后点击下方的“提交”
然后我们就得到了这个最有可能的密码:
另提示一点:当系统要求密码组合必须包含大写字母时候,根据中国人密码设定习惯,会有83%的人将大写字母,且是唯一存在的大写字母放在第一位
弱口令实列普通的弱口令猜测比如说,我们使用这样一段代码来演示弱口令漏洞,它模拟了某个系统的后台。
function showForm() { ?>
}
$un = @$_POST['un'];
$pw = @$_POST['pw'];
if($un == '' && $pw == '')
showForm();
else if($un == 'admin' && $pw == 'admin888')
echo '登录成功';
else {
showForm();
echo '登录失败';
}
把它保存为lesspass.php,将其部署后访问http://localhost/lesspass.php。
接下来我们假装不知道真实密码,开始尝试。对于管理员账户,用户名一般是admin,密码可能为admin、admin123、admin888、123456、123abcadmin等等。首先输入admin和admin,尝试失败:
之后是admin和admin123,还是失败。最后尝试admin和admin888,成功。
三.弱口令漏洞提交步骤
通过IP反查域名,在微步在线搜索IP所涉及的域名,然后在ICP备案网站查询域名具体信息,查找到域名所属单位名称,然后在天眼查/爱企查查询公司详细信息,然后在漏洞盒子提交漏洞。
如图:
扫一扫
999
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
