web-密码安全口令

news2024/12/25 16:22:35

目录

一、密码安全概述

二、密码安全现状

三、破解方式

四、暴力破解

五、字典破解

六、密码字典

学习心得:


一、密码安全概述

现在很多地方都是以用户名(账号)和口令(密码)作为鉴权的方式,口令(密码)就意味着访问权限。口令(密码)就相当于进入家门的钥匙,例如网站后台、数据库、服务器、个人电脑、QQ 、邮箱等。

二、密码安全现状

  • 弱口令

类似于123456、654321、admin123等这样常见的弱口令。

  • 默认口令

很多应用或者系统都是存在默认口令的。比如 phpstudy 的 mysql 数据库默认账号 / 密码 [root/root] ,

Tomcat 管理控制台默认账号 / 密码 [tomcat/tomcat] 等。

  • 明文传输

比如 HTTP|FTP|TELNET 等服务,在网络中传输的数据流都是明文,包括口令认证信息等。这样的

服务,有被嗅探的风险。

三、破解方式

  • 在线破解方式:

账号密码,需要认证。

  • 离线破解方式:

密文还原明文的过程。

四、暴力破解

暴力破解 就是利用所有可能的字符组成密码,通过枚举的方式去尝试破解。这是最原始、粗暴的破

解方法,根据运算能力,如果能够承受时间成本,最终一定爆破密码。下表是根据不同位数生成密码的空间大小。

字符集 密码位数 密码空间

[0-9] 8 位 10^8=100000000

[0-9] [a-z] 8 位 36^8=2821109907456

[0-9] [a-z] 1-8 位

使用crunch工具生成字典文件:

crunch 1 8 abcdefghijklmnopqrstuvwxyz0123456789

五、字典破解

如果能通过比较合理的条件,筛选或者过滤掉一些字符组合的内容,就会大幅降低爆破的成本。我

们把筛选出的密码组合成特定的字典,再用字典爆破密码也是可以的,但是这样做有可能会漏掉真正的密码。密码字典大致分为以下几类。

  • 弱口令字典

比如 123456 、 admin 等这样的默认口令或弱口令。

  • 社工字典

人们在设置密码的时候,往往为了便于记忆,密码的内容和组合会与个人信息有关,比如常见的密

码组合 “ 名字 + 生日 ” 。

[zhangsan1992] , [ZhangSan1992]

社工字典更具有针对性,准确率也比较高。

我们可以根据个人信息生成密码字典,如使用 cupp 工具。

安装cupp工具

apt-get update

apt-get install cupp

-------------------------------

使用cupp工具

cupp -i

[zhangsan|ajest|19920701|dnsec|123]

  • 字符集字典

如果能确定密码的字符集合,也将大大降低爆破的成本。 crunch 工具。

crunch工具介绍

crunch是一款创建密码字典的工具,按照指定的规则生成密码字典,可以灵活的定制自己的字典文 件。使用crunch工具生成的密码可以输出到屏幕、保存文件或另一个程序。尤其在渗透测试需要爆破的时候,字典的编排等直接影响到我们的爆破速度,对整个渗透测试流程起到十分重要的作用。

  • 安装

crunch 为 kali 自带的工具。可以在 kali 终端直接运行。

  • 命令格式

crunch < min-len > < max-len > [ < charset string > ] [options]

  • 参数说明

min-len 设定最小字符串长度(必选)

max-len 设定最大字符串长度(必选)

charset string 字符集

options 选项

- b 指定文件输出的大小,避免字典文件过大

- c 指定文件输出的行数,即包含密码的个数

- d 限制相同元素出现的次数

- e 定义停止字符,即到该字符串就停止生成

-f 调用库文件( / usr / share / crunch / charset.lst )

- i 改变输出格式,即 aaa,aab -> aaa,baa

- l 通常与 - t 联合使用,表明该字符为实义字符

- m 通常与 - p 搭配

- o 将密码保存到指定文件

- p 指定元素以组合的方式进行

- q 读取密码文件,即读取 pass.txt

- r 定义从某一字符串重新开始

- s 指定一个开始的字符,即从自己定义的密码 XXX 开始

- t 指定密码输出的格式

- u 禁止打印百分比(必须为最后一个选项)

- z 压缩生成的字典文件,支持 gzip,bzip2,lzma, 7 z

特殊字符

% 代表数字

^ 代表特殊字符

@ 代表小写字母

, 代表大写字母

查看库文件(自带密码库文件)

cat / usr / share / crunch / charset.lst

numeric 表示 0123456789

lalpha 表示 26 位小写字母

ualpha 表示 26 位大写字母

六、密码字典

练习:

1 、用指定的字符 abc 生成一个字典文件 num01.txt

2 、生成 pass01-pass99 所有数字组合的字典文件 num02.txt

3 、生成六位小写字母密码,其中前四位为 pass 的字典文件 num03.txt

4 、生成六位密码,其中前四位为 pass ,后二位为大写字母的字典文件 num04.txt

5 、生成六位密码,其中前四位为 pass ,后二位为特殊字符的字典文件 num05.txt

6 、利用自带库文件,制作 8 位数字的字典文件 num06.tx

7 、制作 6 位数字的字典文件 num07.txt

8 、制作 adminXX , XX 为数字的字典文件 num08.txt

9 、制作以 admin 字母组成的字典文件 num09.tx

学习心得:

学习密码破解技术,我深刻认识到了安全防护的重要性。通过了解加密原理和常见攻击手段,如暴力破解和字典攻击,我增强了对密码强度和复杂性的认识。这让我更加重视个人和企业信息安全,学会如何设置更安全的密码,以保护数据不受侵害。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2265373.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

YOLO11改进-模块-引入空间自适应特征调制网络SAFMN(Spatial Adaptive Feature Modulation Network)

尽管基于深度学习的解决方案在图像超分辨率&#xff08;SR&#xff09;中取得了令人瞩目的重建性能&#xff0c;但这些模型通常较大且架构复杂&#xff0c;使其与许多具有计算和内存限制的低功耗设备不兼容。为了克服这些挑战&#xff0c;我们提出了一种用于高效 SR 设计的空间…

神经网络-LeNet

LeNet在1990年被提出&#xff0c;是一系列网络的统称&#xff0c;包括了LeNet1~LeNet5&#xff0c;对于神经网络的学习者来说&#xff0c;大家对下面这个图一定很熟悉&#xff0c;该图是对LeNet的简化展示。 在LeNet中已经提出了卷积层、Pooling层等概念&#xff0c;只是但是由…

VMD-SSA-BiLSTM、VMD-BiLSTM、BiLSTM时间序列预测对比

VMD-SSA-BiLSTM、VMD-BiLSTM、BiLSTM时间序列预测对比 目录 VMD-SSA-BiLSTM、VMD-BiLSTM、BiLSTM时间序列预测对比预测效果基本介绍程序设计参考资料 预测效果 基本介绍 1.MATLAB实现VMD-SSA-BiLSTM、VMD-BiLSTM、BiLSTM时间序列预测对比; 2.单变量时间序列预测 就是先vmd把变…

联通光猫怎么自己改桥接模式?

环境&#xff1a; 联通光猫 ZXHN F677V9 硬件版本号 V9.0 软件版本号 V9.0.0P1T3 问题描述&#xff1a; 联通光猫怎么自己改桥接模式 家里用的是ZXHN F677V9 光猫&#xff0c;最近又搞了个软路由&#xff0c;想改桥接模式 解决方案&#xff1a; 1.拿到最新超级密码&…

JSON 系列之1:将 JSON 数据存储在 Oracle 数据库中

本文为Oracle数据库JSON学习系列的第一篇&#xff0c;讲述如何将JSON文档存储到数据库中&#xff0c;包括了版本为19c和23ai的情形。 19c中的JSON 先来看一下数据库版本为19c时的情形。 创建表colortab&#xff0c;其中color列的长度设为4000。若color的长度需要设为32767&a…

【从零开始入门unity游戏开发之——unity篇02】unity6基础入门——软件下载安装、Unity Hub配置、安装unity编辑器、许可证管理

文章目录 一、软件下载安装1、Unity官网2、下载Unity Hub 二、修改Unity Hub配置1、设置Unity Hub中文语言2、修改默认存储目录 三、安装unity编辑器1、点击安装编辑器2、版本选择3、关于版本号4、安装模块选择5、等待下载完成自动安装即可6、追加unity和模块 四、许可证管理专…

SAP从入门到放弃系列之委外分包(Subcontracting)-Part1

以前写过一篇委外相关的文章&#xff0c;没有很详细的写。只是一个概念的概述ERP实施-委外业务-委外采购业务 最近看PA教材&#xff0c;遇到了这块内容&#xff0c;就再详细的整理一下SAP关于委外的理论知识。 文章目录 概述分包和物料需求计划 (MRP)委外分包订单分包委外业务…

vue前端报错 ERROR Error The project seems to require yarn but it‘s not installed

当我们项目启动的时候会报错 报错的信息&#xff1a;ERROR Error: The project seems to require yarn but it’s not installed. 解决的办法首先找到右边的文件夹&#xff0c;yarnlock 找打这个文件删除以后进行全局安装 npm install -g yarn

分体空调智能控制系统

空调是建筑中的用能大户&#xff0c;据统计&#xff0c;空调能耗占建筑总能耗的60%&#xff0c;空调节能作为建筑节能减排的重要组成部分&#xff0c;针对空调的监测和控制尤为重要。随着双碳战略的深入推进、数字化技术的快速发展、人们节能意识普遍增强&#xff0c;对空调用电…

Axure RP 8安装(内带安装包)

通过网盘分享的文件&#xff1a;Axure8.0.zip 链接: https://pan.baidu.com/s/195_qy2iiDIcYG4puAudScA 提取码: 6xt8 --来自百度网盘超级会员v1的分享 勾选I Agree 安装完成

如何在centos系统上挂载U盘

在CentOS上挂载NTFS格式的U盘,需要执行一系列步骤,包括识别U盘设备、安装必要的软件、创建挂载点,并最终挂载U盘。以下是在CentOS上挂载NTFS格式U盘的详细步骤: 一、准备工作 确认CentOS版本: 确保你的CentOS系统已经安装并正常运行。不同版本的CentOS在命令和工具方面可能…

闯关leetcode——3158. Find the XOR of Numbers Which Appear Twice

大纲 题目地址内容 解题代码地址 题目 地址 https://leetcode.com/problems/find-the-xor-of-numbers-which-appear-twice/description/ 内容 You are given an array nums, where each number in the array appears either once or twice. Return the bitwise XOR of all …

zabbix“专家坐诊”第270期问答

问题一 Q&#xff1a;请问&#xff0c;zabbix 6.0.26 是否支持在 Monitoring|Latest data页面仅通过Tags筛选主机&#xff1f;我尝试了下&#xff0c;发现无法筛选到。 A&#xff1a;这里是标记 要选主机正在旁边选。 Q&#xff1a;我只想筛选tag为xxx的主机&#xff0c;不限定…

Git使用经历

目录 1、先创建文件夹 2、仓库初始化 3、配置gitee用户名和密码 4、克隆指定仓库的中指定分支到本地仓库 5、查看当前所在分支、切换分支 6、查看状态&#xff0c;判断是否有修改 7、把更新的内容添加到缓存区 8、把缓存区的数据提交 9、把数据推送到远程仓库 10、把…

蓝牙协议——音乐启停控制

手机播放音乐 手机暂停音乐 耳机播放音乐 耳机暂停音乐

【Web】2024“国城杯”网络安全挑战大赛决赛题解(全)

最近在忙联通的安全准入测试&#xff0c;很少有时间看CTF了&#xff0c;今晚抽点时间回顾下上周线下的题(期末还没开始复习&#x1f622;) 感觉做渗透测试一半的时间在和甲方掰扯&水垃圾洞&#xff0c;没啥惊喜感&#xff0c;还是CTF有意思 目录 Mountain ez_zhuawa 图…

信奥赛四种算法描述

#include <iostream> #include <iomanip> using namespace std;// 使用unsigned long long类型来尽量容纳较大的结果&#xff0c;不过实际上这个数值极其巨大&#xff0c;可能最终仍会溢出 // 更好的方式可以考虑使用高精度计算库&#xff08;如GMP等&#xff09;来…

12.19问答解析

概述 某中小型企业有四个部门&#xff0c;分别是市场部、行政部、研发部和工程部&#xff0c;请合理规划IP地址和VLAN&#xff0c;实现企业内部能够互联互通&#xff0c;同时要求市场部、行政部和工程部能够访问外网环境(要求使用OSPF协议)&#xff0c;研发部不能访问外网环境…

Docker部署Sentinel

一、简介 是什么&#xff1a;面向分布式、多语言异构化服务架构的流量治理组件 能干嘛&#xff1a;从流量路由、流量控制、流量整形、熔断降级、系统自适应过载保护、热点流量防护等多个维度来帮助开发者保障微服务的稳定性 官网地址&#xff1a;https://sentinelguard.io/zh-c…

LabVIEW如何学习FPGA开发

FPGA&#xff08;现场可编程门阵列&#xff09;开发因其高性能、低延迟的特点&#xff0c;在实时控制和高速数据处理领域具有重要地位。LabVIEW FPGA模块为开发者提供了一个图形化编程平台&#xff0c;降低了FPGA开发的门槛。本篇文章将详细介绍LabVIEW FPGA开发的学习路径&…