弱口令名词解释:弱口令是由于管理人员在设置账号密码时使用默认密码(初始密码),或使用简单容易被猜解的密码。
注意:弱口令是具有概率性,不一定所有账号密码验证场景都有弱口令,如若传输过程中,密码为加密值,此时需要进行解密后再进行猜解。
弱口令的产生通常是由于管理人员缺乏安全意识所导致的问题,通过弱口令可被黑客直接获取系统权限,对系统具有极大的危害。
弱口令产生的位置可以在系统各个位置,如web应用,安全设备,操作系统等。弱口令在验证的时候有可能出现,尤其是账号密码验证位置。
推荐弱口令字典工具为SeLists-mater
WEB类弱口令后台猜解:
web类弱口令需要做充足的信息收集,找到后台入口进行密码猜解。
在弱口令枚举时可能会碰到验证码认证,此时可以使用一些验证码机器识别工具进行验证码绕过 。
服务类-SSH&RDP远程终端猜解:
推荐九头蛇(hydra)工具进行爆破
在爆破SSH时,我们可以使用九头蛇进行爆破,九头蛇使用方式网上自行搜索 。
注意:使用九头蛇在进行爆破时字典的目录位置一定要注意,不会配置字典目录位置一定要去网上自行搜索教程。
应用类-ZIP&Word文件压缩包破解:
ZIP密码破解工具推荐 Advanced Archive Password Recovery
Word密码破解工具推荐 PassFab for word
上述内容部分参考网络安全小迪讲师课程,制作不易,希望大家学习顺利事业有成!!!