密码暴力破解

已于 2022-04-02 08:41:50 修改
阅读量4.2k 收藏 16
点赞数 1
分类专栏: 常见漏洞 文章标签: 安全
于 2022-03-31 15:27:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45455136/article/details/123798305
版权

密码暴力破解

什么是暴力破解

使用大量的认证信息在认证接口尝试登录,直到得到正确的结果。 为了提高效率,一般使用带有字典的工具来进行自动化操作

不安全的密码

  • 默认密码
    000000、123456、空密码、身份证后六位、手机号后六位…
  • 常见密码
    https://nordpass.com/most-common-passwords-list/
  • 裤子
    网站被黑客攻击导致整个数据库的密码泄露被脱库,已经泄露的密码叫裤子

密码猜解思路

  • 确定猜测范围
    密码长度,注册界面限制长度,一般为6-16位
    密码内容,数字、字母、特殊符号
  • 使用合适的密码字典
    github:Weak-password、SuperWordlist、PasswordDic
    指定格式字典:crunch
    社工字典:cupp、ccupp、https://www.bugku.com/mima/
    提取网站中的单词:cewl 网址 -w word.txt

Python暴力破解

DVWA的low等级暴力破解,get方式传递参数,暴破admin的密码
在这里插入图片描述
构造http请求数据,通过响应结果中是否包含错误提示判断是否暴破成功
在这里插入图片描述

BurpSuite暴力破解

DVWA的low等级暴力破解

BurpSuite抓取登录数据包
在这里插入图片描述
将数据包发送到Intruder,攻击模式使用Sniper(狙击手模式,只能对一个字段进行攻击),设置password内容为攻击字段
在这里插入图片描述
password字段加载字典文件内容
在这里插入图片描述
Start attack开始攻击,因错误密码的响应数据包内容相同,可根据响应数据包长度排序确定正确的密码
在这里插入图片描述

DVWA的high等级暴力破解

high等级添加了token验证,token只生效一次,需要从上一次HTTP响应结果中获取下一次的token。BurpSuite抓取登录数据包
在这里插入图片描述
将数据包发送到Intruder,攻击模式使用Pitchfork(草叉模式,可对多个字段进行攻击,但字段的值是按顺序对应的),设置password和token的内容为攻击字段
在这里插入图片描述
进入Options选项,Add添加响应数据包过滤规则
在这里插入图片描述
Refetch response刷新响应数据包,双击选取token值所在的位置,复制token值
在这里插入图片描述
点击OK成功添加过滤规则
在这里插入图片描述
对攻击的响应结果进行过滤,带有Welcome说明登录成功
在这里插入图片描述
Payloads中token字段设置类型为Recursive grep递归匹配,粘贴获取的token值到first request
在这里插入图片描述
因token只能使用一次无法并行发包,设置成单线程并开始攻击
在这里插入图片描述
成功过滤出密码password
在这里插入图片描述

其他暴力破解工具

wfuzz

wfuzz爆破pikachu的暴力破解模块,过滤单词数为1797的失败响应结果
在这里插入图片描述

Hydra

使用kali的Hydra爆破redis服务器的ssh密码
在这里插入图片描述

Medusa

爆破root用户的ssh密码
在这里插入图片描述

msfconsole

msfconsole爆破redis服务器ssh登录用户名和密码
在这里插入图片描述

如何防御暴力破解

服务器防御

  • 限制尝试错误密码次数,锁定账户
  • 密码错误时sleep延迟响应时间
  • 增加token禁止多线程访问
  • 二次验证,如人脸识别、设备验证码、人机身份验证、异地登录验证
  • 锁定多次密码错误的ip
  • WAF识别暴力破解
  • 强制用户修改密码
  • 取消密码登录

用户防御

  • 使用复杂密码
  • 不同网站使用不同密码
  • 定期修改密码
  • 防止被钓鱼
c1o22
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
zip压缩文件密码暴力破解(免费)
11-12
不收费,本人亲测好用,破解5位密码,耗时64S 破解速度是4166090密码/秒
Hydra暴力破解工具的用法
byc6352的专栏
07-18 1万+
目录 Hydra 常见参数 破解SSH 破解FTP 破解HTTP 破解3389远程登录 Kali自带密码字典 dirb ...
ctf中对于未知文件的判断及压缩包内文件加密暴力暴力破解
qq_46541895的博客
01-11 1444
ctf中对未知文件的判断 这是一道二维码ctf题,我们可以先扫一下,工具为QR_Research,扫描结束之后所获内容为 secret is here ,首先,我们对这个题可能没事思路,所以先尝试用工具 Hex Editor Neo 来做一下,判断文件类型, 从十六进制中看出,此文件是一个zip压缩包文件,其中含有一个 4number.txt文件。因此该图片png格式改成zip的压缩包格式。 打开压缩包之后,我们发现是一个带有密码的txt文件, 因此我们可以选择使用暴力破解的方法,密码是4个数字,
黑客入门破解网络密码常用九个方法_网页password解密教程
最新发布
m0_62289956的博客
04-21 1839
很多著名的黑客破解密码并非用的什么尖端的技术,而只是用到了密码心理学,记住,只要是人就有心理,从用户心理入手,从心理入手分析用户的信息,分析用户的当时心理,从而更快的破解出密码。有一些公司的员工虽然设置了很长的密码,但是却将密码写在纸上,更有甚者把账户密码写在记事本里,还有人使用自己的名字和自己生日做密码,还有些人使用常用的单词做密码如password,这些不良的习惯将导致密码极易被破解。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
密码暴力破解与防御
2302_76672693的博客
08-04 203
密码暴力破解与防御
暴力破解密码字典
2301_77361520的博客
11-14 1037
暴力破解多用于密码攻击领域,即使用各种不同的密码组合反复进行验证,直到 找出正确的密码 这种方式也称为“密码穷举”,用来尝试的所有密码集合称为"密码字典” 从理论上来说,任何密码都可以使用这种方法来破解,只不过越复杂的密码需要的破解时间也越长。进入到hydra文件夹,按住shift ,同时点击鼠标右键,点击“从此处打开终。目标主机Win2003开启远程桌面(端口号3389)海德拉(Hydra):希腊神话中的九头蛇。通过文件管理系统找到生成的密码字典。在Win7上运行mstsc。暴力破解之hydra。
暴力字典密码破解之crypt
EthanAndEvan的博客
09-10 5339
使用crypt加密密码暴力破解 在本文中,我们假设已经获取到用户密码的密文,从密文格式知道密码是通过crypt算法加密。下面我们尝试通过字典中的单词进行破解。 准备工作 先准备好我们获取到的密文文件。假设文件名为passwords.txt,文件内容如下: victim: HX9LLTdc/jiDE: 503:100:Iama Victim:/home/victim:/bin/s...
破解密码的8种典型手段与防护建议
陕西省数字认证中心
01-04 3733
同时,可以采用“加盐(Salt)”措施,即在密码的特定位置插入特定的字符串,这个特定字符串就是“盐”,加盐后的密码哈希串与加盐前的哈希串完全不同,黑客用彩虹表得到的密码不再是真正的密码。即便黑客知道了“盐”的内容、加盐的位置,还需要对函数进行修改,彩虹表也需要重新生成,因此加盐能大大增加彩虹表攻击的难度。同时,可以采用“加盐(Salt)”措施,即在密码的特定位置插入特定的字符串,这个特定字符串就是“盐”,加盐后的密码哈希串与加盐前的哈希串完全不同,黑客用彩虹表得到的密码不再是真正的密码
黑客入门破解网络密码常用九个方法
m0_59162248的博客
02-23 5694
个人网络密码安全是整个网络安全的一个重要环节,如果个人密码遭到黑客破解,将引起非常严重的后果。比如,银行卡账户密码被盗,你就给别人打工了。所以,增强网民的网络安全意识是网络普及进程的一个重要环节。常言道:知己知彼方能百战不殆。因此,在个人采取安全措施来保护自己的网络密码之前,有必要先了解一下流行的网络密码的破解方法,方能对症下药,下面我就介绍一下几个主要的网络密码破解。
手把手教你一步一步暴力破解密码,学不会来找我
2201_75765956的博客
11-17 1482
但是你不可能一个一个去手动构造数据包,所以在实施暴力破解之前,我们只需要先去获取构造HTTP包所需要的参数,然后扔给暴力破解软件构造工具数据包,然后实施攻击就可以了。暴力破解也可称为穷举法、枚举法,是一种针对于密码的破译方法,将密码进行逐个推算直到找出真正的密码为止。设置长而复杂的密码、在不同的地方使用不同的密码、避免使用个人信息作为密码、定期修改密码等是防御暴力破解的有效方法。暴力破解的原理就是使用攻击者自己的用户名和密码字典,一个一个去枚举,尝试是否能够登录。第三步:选择我们要破解的变量。
Windows密码破解
weixin_51846555的博客
07-03 3385
这里主要介绍两种方法来破解Windows的开机密码
密码破解
野生码农
01-24 2957
安全网络密码怎么破解 https://zhidao.baidu.com/question/1796715923684220867.html     以下是我总结的十个主要的网络密码破解方法。 1、暴力穷举 密码破解技术中最基本的就是暴力破解,也叫密码穷举。如果黑客事先知道了账户号码,如邮件帐号、QQ用户帐号、网上银行账号等,而用户的密码又设置的十分简单,比如用简单的数字组合,黑客使用暴力...
网页密码暴力破解模板,多线程-python
09-05
网页密码暴力破解模板,用python2编写,多线程,可自己调节线程,只是一个模板,需要自己修改里面的关键字,内容等。
SSH密码暴力破解及防御实战
11-30
太狠了吧,SSH密码暴力破解及防御实战,注意安全了,下载学习
网站密码暴力破解
06-30
网站密码暴力破解器 网站密码暴力破解器 网站密码暴力破解器 网站密码暴力破解器 网站密码暴力破解器 网站密码暴力破解器 网站密码暴力破解器 网站密码暴力破解
zip密码暴力破解
01-15
可以暴力破解Zip格式压缩包的密码,破解方法多样,速度达几百万个密码每秒,一般带字母数字的六七位密码在几秒内破解完成
介绍6款密码暴力破解工具
Python_0011的博客
01-11 9245
Hydra(九头蛇)是THC组织开发的,是一款非常流行的密码破解工具,可以对多种服务的账号和密码进行爆破,包括 Web 登录、数据库、 SSH、 FTP 等服务,支持 Linux、Windows、 Mac 平台安装,其中 Kali Linux中自带 Hydra。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
如何破解网络密码?(2种方法)
热门推荐
How_about_thi的博客
12-29 1万+
破解WiFi密码的2种方法
Python密码暴力破解
05-13
密码暴力破解是一种攻击方式,通常用于尝试破解加密密码或访问受保护的系统。在Python中,可以使用循环或递归来创建密码暴力破解程序。 以下是一个简单的密码暴力破解程序示例,使用Python中的循环: ```python ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值