密码攻击技术
密码攻击技术
在这个房间里,我们将讨论可用于执行密码攻击的技术。 我们将介绍各种技术,例如字典、蛮力、规则库和猜测攻击。 上述所有技术都被视为主动“在线”攻击,其中攻击者需要与目标机器通信以获取密码,以便获得对机器的未授权访问。
密码破解与密码猜测
本节从网络安全的角度讨论密码破解术语。此外,我们还将讨论密码破解和密码猜测之间的显着差异。 最后,我们将演示用于密码破解的各种工具,包括 Hashcat 和 John the Ripper 。
密码破解是一种用于发现从加密或散列数据到明文数据的密码的技术。攻击者可能会从受感染的计算机获取加密或散列密码,或通过网络传输数据获取密码。一旦获得密码,攻击者就可以利用密码攻击技术使用各种工具破解这些散列密码。
密码破解被认为是渗透测试中的传统技术之一。主要目标是让攻击者升级到更高的权限并访问计算机系统或网络。 密码猜测和密码破解通常是信息安全专业人员常用的方法。两者都有不同的含义和含义。密码猜测是一种基于字典来猜测在线协议和服务密码的方法。以下是密码破解和密码猜测之间的主要区别:
- 密码猜测是一种用于针对在线协议和服务的技术。因此,它被认为是耗时的,并且有机会为失败的登录尝试生成日志。在基于 Web 的系统上进行的密码猜测* 攻击通常需要为每次尝试发送一个新的请求,这很容易被检测到。如果系统设计和配置安全,可能会导致帐户被锁定。
密码破解是一种在本地或在攻击者控制的系统上执行的技术
密码分析
拥有一个好的单词列表对于成功进行密码攻击至关重要。了解如何生成用户名列表和密码列表很重要
默认密码
在执行密码攻击之前,值得针对目标服务尝试几个默认密码。制造商为交换机、防火墙、路由器等产品和设备设置默认密码。在某些情况下,客户不会更改默认密码,这会使系统容易受到攻击。因此,尝试 admin:admin、admin:123456等是一个很好的做法。如果我们知道目标设备,我们可以查找默认密码并进行尝试。 例如,假设目标服务器是 Tomcat,这是一种轻量级开源 Java 应用程序服务器。在这种情况下,我们可以尝试几个可能的默认密码: admin:admin或tomcat:admin 。
以下是一些为各种产品提供默认密码的网站列表。
- https://cirt.net/passwords
- https://default-password.info/
- https://datarecovery.com/rd/default-passwords/