密码攻击工具其实也就是密码字典生成工具,前面介绍过几个字典生成工具,都是需要结合一些社会工程学的信息收集,且针对的都是用户账号。
这里介绍的工具(cewl)主要是针对网站的。
cewl简介
cewl是一个ruby应用,爬行指定url的指定深度。也可以跟一个外部链接,结果会返回一个字典,这个字典可以传给其他工具进行密码暴力破解。
cewl安装
kali系统中是预装了cewl的,如果你需要在其他系统中使用cewl的话,可以到官网进行下载。
https://digi.ninja/projects/cewl.php
cewl实操
拿到新工具,肯定还是使用-h参数查看帮助说明:
用cewl爬取网站生成字典的常用命令:
cewl http://192.168.218.129/dvwa/login.php -m 3 -d 3 -e -c -v -w a.txt
解释一下上面命令中的参数作用:
-m:用于指定最终生成字典中字符最小长度,只有超过指定长度才会记录到字典中
-d:爬取地址/网站的深度
-e:收集包含email地址信息
-c:统计每个字符串出现的次数
-v:显示爬取过程中的详细信息
-w:将爬取到的字符串写入到指定文档
在公网上使用的时候还可以加个代理,使用这些参数:
–proxy_host:代理主机地址
–proxy_port:代理端口,默认是8080
–proxy_username:代理的账户名
–proxy_password:代理的密码
当然cewl提供的参数不止这些,但是对于实际使用,其实知道这些参数已经足够了。