写了这么久文章,我突然发现我还没有给大家讲弱口令的安全。所以,这篇文章我就带大家来学习一下弱口令安全。
首先,什么是弱口令?简单的来说就是密码设置的比较简单,或者说比较的容易被爆破出来。
比如我用inurl:phpMyAdmin
在百度去搜索(如下图)
顺便打开一下,如果是存在弱口令不就直接进入后台了。(我就不用别人的网站进行实验了,一会我自己搭个演示下)
好,这里我用我的网站给大家看看。
首先,我打开我的网站,然后输入了一个弱口令。之后,我就成功登录了。(这样也不好看,一会我在本机用工具给大家演示下)
好,给大家看了这么多。估计大家现在对弱口令的危害有所了解。现在,我们开始进行相关的实验。
首先,我们用Burp Suite来跑一下我本地的phpmyadmin。
首先,还是老规矩抓包。
抓包后右键,发送到Intruder模式下
在这个模式下,我们§
这个符号中的是变量,也就是加载爆破字典的地方。
之后,我们把模式改成下图中的模式(这个模式才可以设置多个变量)
最后在payload里加载字典。
好,用Burp Suite攻击的方法我们已经讲了。现在,我们来学习一下hydra攻击。
首先,我们在kali中找到hydra并打开。
此时,界面中会出现hydra的说明信息
我们按如下的命令写如即可爆破了。
hydra -l user -P passlist.txt 192.168.0.1 smb
注:-l后面加账号-P后面加密码
(ps:求各位看官给点评论和关注)