网络安全之弱口令与命令爆破(中篇)(技术进阶)

已于 2024-04-30 14:12:41 修改
阅读量1k 收藏 11
点赞数 10
文章标签: web安全 安全
于 2024-04-28 17:35:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_70911257/article/details/138274626
版权
本文介绍了弱口令的概念,产生原因,包括用户习惯和默认密码,以及字典生成策略,特别是普通字典和基于社工信息的定制字典。此外,还详细讲述了如何使用Burpsuite工具进行验证码爆破,包括配置步骤和注意事项。
摘要由CSDN通过智能技术生成

目录

一,什么是弱口令?

二,为什么会产生弱口令呢?

三,字典的生成

四,使用Burpsuite工具验证码爆破

总结

笔记改错

一,什么是弱口令?

弱口令就是容易被人们所能猜到的密码呗,例如:admin,123456,888等等简单的密码。

二,为什么会产生弱口令呢?

1,设置密码的人为了方便好记会选择一些容易的密码或是用自己的姓名,生日,手机号码等等。

2,有些平台和设备是有默认密码的,管理人员没有及时修改密码。

三,字典的生成

1,普通字典

普通字典就是一些平常的密码如88888888,666,abcabc和各种平台设备的默认密码等等,这类字典能否爆破出密码完全靠运气。

2,定制字典

利用对方的社工信息定制的字典如qq,邮箱,电话号码,生日,社交信息这些进行密码的定制(这里需要声明的是,严禁搭建对外的社工库犯法的)

社工密码在线生成:

Weakpass password generator

四,使用Burpsuite工具验证码爆破

1,配置bp验证码爆破python解析器

2,添加插件 

 1,配置好插件后去到登录界面

 2,开启验证码识别

  

3,配置xiapao 

 

 

4,修改抓到的数据包

5,设置线程池 

 线程数设为 1

6,开始爆破

成功后的length长度会不一样

总结

这种针对验证码的爆破只是最简单的一种,还有其他的验证码类型,能爆破,但是有点难,等以后再出一篇看看吧,下篇的内容是token防爆破,防爆破口令绕过,word,加密的zip压缩文件,windows登录密码,mysql数据库登录密码,ssh登录密码的弱口令爆破 。下个星期有空再写吧,这篇内容不全还有一个知识点没讲到(出了点问题解决了再加上来吧)。

谢谢大家的观看!!

笔记改错

这个笔记有点错误在3,配置xiapao 第一张图片,哪里不需要点”开启“哈,是我弄错了不好意思哈,自己当时没有验证。

戰、天下
关注
web安全Web应用隔离防护之Web弱口令爆破
HBohan的博客
10-18 3479
背景 近些年来,国内政府和企业网站被篡改的类似黑客攻击入侵事件频出,造成的社会影响及经济损失巨大,越来越多的企事业单位高度重视Web应用安全。 其中,黑客针对Web应用资产发起的弱口令攻击尤为常见。 即黑客通过已有的大量账号信息,快速批量验证能够访问目标Web资产的账号。这种攻击方式由于利用难度不大,且一旦获取到目标系统的弱口令,进入目标Web系统,可以扩大攻击者的攻击范围,被广为使用。 【学习资料】 常见的Web弱口令攻击场景 一类是为了获取目标应用的访问权限,对账号(如Admin、Root等)的密码进.
弱口令——里面包含了国内最常用的口令
08-23
弱口令——里面包含了国内最常用的口令! 数字的、数字和字母结合的、字母的、相邻字母的、符号的都有! 大家可以下载用一下,绝对好玩! 亲测有效
最新弱口令字典,常用密码,弱密码集合
热门推荐
dongsir
07-23 5万+
安全强度低密码表,不安全密码合集。 js数组格式: var pwdUnSecurity = ["123456", "123456789", "111111", "5201314", "12345678", "123123", "password", "1314520", "123321", "7758521", "1234567", "5211314", "666666", "520520"...
网络安全常见十大漏洞总结(原理、危害、防御)
最新发布
2402_84205067的博客
08-05 959
预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该SQL语句的语法结构了。所以即使你后面输入了这些SQL命令,也不会被当成SQL命令来执行了,因为这些SQL命令的执行,必须先通过语法分析,生成执行计划,既然语法分析已经完成,已经预编译过了,那么后面输入的参数,是绝对不可能作为SQL命令来执行的,只会被当成字符串字面值参数。我希望能为大家提供切实的帮助,讲解通俗易懂,风趣幽默,风格清新活泼,学起来轻松自如,酣畅淋漓!
各大厂商常用的弱口令集合
Python_paipai的博客
03-08 815
Yearning开源SQL语句审核平台 admin/Yearning_admin。猎鹰安全-金山V8+终端安全系统/Kingsoft V8 admin/admin。OfficeTen上网行为管理 Useradmin/admin!网御星云-安全网关 administrator/leadsec@7766。Lepus天兔数据库监控系统默认口令 admin/Lepusadmin。AirCam IP-150CAM摄像头 admin/airlive。Banggoo-ADC般固服务器负载均衡 admin/admin。
2021最全弱口令常用口令大集合
01-06
2021最全弱口令常用口令大集合
一个关于弱口令字典的生成器
qq_36044386的博客
09-12 579
一个关于弱口令字典的生成器 这个弱口令字典与别的字典的不同之处在于,它通过用户输入的关键词排列组合出所有可能的字典,针对性更强 code: import itertools string = '' f = open('dic.txt', 'a') def listtostring(list): return str(list).replace("('", '').replace("',),", '\n').replace('[', '').replace(']', '').replac
网络安全 批量ftp暴力破解脚本 弱口令漏洞
04-21
批量ftp爆破的脚本,支持多线程,也不长
超级弱口令检查工具:简体中文版·网络扫描·弱口令爆破工具
01-04
超级弱口令检查工具·简体中文版是一项实用的弱口令检查工具,它允许对大多数端口进行弱口令字典,附带了端口扫描功能,还允许用户使用本地字典。
一款基于C#的web后台弱口令爆破、检测工具 .zip
03-17
适用于希望学习不同技术领域的小白或进阶学习者。 可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【附加价值】: 项目具有较高的学习借鉴价值,也可直接拿来修改复刻。 对于有一定基础或热衷于研究...
弱口令用户名爆破字典1
01-21
弱口令用户名爆破字典1
适合国内的增强版的弱口令字典
11-24
根据网上流行的多个弱口令字典自己编辑增强的个性化字典,非常适合国内环境爆破,仅供网络安全爱好者测试使用,请勿用于非法用途
2020最全弱口令常用口令大集合
09-26
2020最新的弱口令大集合,从top100,1000到top100000的密码,以及常见的从3位起到10位的弱口令,还有姓名拼音等多个弱口令字典,各种撞库等,数字亲测好用,大家快来下载吧,挺不错的一个资源哦!!
Python攻防之弱口令、自定义字典生成及网站防护
Python_sn的博客
09-27 1224
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Python网络攻防基础知识、Python多线程、C段扫描和数据库编程,本文将分享Python攻防之自定义字典生成,调用Python的exrex库实现。本文参考了爱春秋ADO老师的课程内容,这里也推荐大家观看他Bilibili和ichunqiu的课程,同时也结合了作者之前的编程经验进行讲解。 很多人学习python,不知道从何学起。 很多人学习python,掌握了基本语法过后,不
Python攻防之弱口令、自定义字典生成及网站暴库防护!
爬遍所有网站
03-26 1410
免责声明:本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安全+的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作! 第十五篇第八张黑底程序图出现了错误更正为: 作者介绍:杨秀璋 自幼受贵州大山的熏陶,养成了诚实质朴的性格。经过寒窗苦读,考入BIT,为完成自己的教师梦,放弃IT、航天等工作,成为贵财一名大学教师...
生成企业特色弱口令的脚本
jackslowf的博客
06-07 252
记录看到的一篇生成企业特色弱口令的脚本,十分简短, import itertools prefix = ['baidu', 'Baidu'] for x in [''.join(x) for x in list(itertools.product(prefix, ['@', ''], ['2019', '2020', '2018', '123', '1234', '123456'], ['!', '', '.']))] : print(x) 结果如下: baidu@2019! baidu@2019 ba
实验:DVWA—Weak Session IDs(弱口令
Cwillchris的博客
10-28 1603
DVWA靶机:172.16.12.10 windos攻击机:172.16.12.7 kali攻击机:172.16.12.30 实验步骤: 一、Low级 WeakSessionIDs: 密码与证书等认证手段,一般仅仅用于登录(Login)的过程。当登陆完成后,用户访问网站的页面,不可能每次浏览器请求页面时都再使用密码认证一次。因此,当认证完成后。就需要替换一个对用户透明的凭证。这个凭证就是SessionID。 当用户登陆完成后,在服务器端就会创建一个新的会话(Session),会话中会保存用户...
[网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站暴库防护
bylfsj的博客
02-05 1811
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Pyt...
【精选】弱口令介绍及破解方式
xnxqwzy的博客
11-09 749
仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。暴力破解,是一种针对于密码的破译方法,将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试10000次就能找到正确的密码。而当遇到人为设置密码(非随机密码,人为设置密码有规律可循)的场景,则可以使用密码字典(例如彩虹表)查找高频密码,破解时间大大缩短。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

戰、天下

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值