弱口令扫描、暴力破解密码
1使用场景
在internet环境中,过于简单的口令时服务器面临的最大风险。尽管大家都知道复杂的口令更安全,但仍然有很多用户贪图方便而采用简单的口令。对于任何一个承担安全责任的管理员,及时找出这些弱口令账户时非常必要的
2面向对象
此文章适用于以下两类工程师:
一线维护工程师
安全维护工程师
3工具简介
为保证linux服务器平台的安全性,需要按照表2-1中加固项,对现网系统进行安全加固,防止黑客攻击。使用的加固工具集成在john-1.11.0.tar.gz软件包中。
表1-1加固项与工具说明
4工具部署
在服务器主机上安装口令扫描工具
步骤 1
将安全加固工具john-1.11.0.tar.gz下载并上传到受信任主机(Trused Host)/home目录下。
步骤 2
执行以下命令解压缩安全加固工具包。
#tar zxf john-1.11.0.tar.gz
步骤 3
进入软件包目录
#cd john-1.11.0.tar.gz
步骤 4
切换到子目录并编译安装
#cd /src
#make clean linux-x86-64
步骤 5
确认已生成可执行文件
#ls …/run/john
…/run/john
所有加固任务完成后,请删除加固工具。
也可以将命令john创建硬链接放在/bin/目录下,这样以后执行john命令可以在任何目录下都可执行了
5扫描弱密码
方法 通过john命令检查弱密码(推荐)
步骤 6
复制准备待破解的密码文件。centOS的账户密码时存放在/dev/shado文件中的,我们把此文件复制过来就可以了。
#cp /dev/shadow /root/shadow.bak
步骤 7
准备密码字典文件。本工具提供的默认字典文件为password.lst,其中列出了3000个常见的若口令,若有必要,用户可以在字典中添加更多的密码组合,也可以使用其他的字典文件
步骤 8
执行暴力破解.在run子目录下执行
#./john --wordlist=./password.lst /root/shadow,bak
步骤 9
查看破解出的账户列表。
#./john --show /root/shadow,bak
6修改弱密码
如果存在弱密码,请根据版本配套密码修改指南修改此密码。
弱口令扫描、暴力破解密码相关推荐
- 网络安全进阶学习第一课——认证崩溃之弱口令与暴力破解
文章目录 一.什么是弱口令? 二.暴力破解 1.暴力破解攻击产生原因 2.暴力破解分类 3.具体案例 一.什么是弱口令? 弱口令没有严格和准确的定义,通常认为它是容易被别人猜测到或被工具破解的口令均为 ...
- 系统安全和应用及实验部分(弱口令扫描、密码破解、NMAP嗅探)
文章目录 一.账号安全控制 1.基本安全措施 (1)系统账号的清理 (2)密码安全控制 (3)历史命令.自动注销 二.用户切换.提权 1.用户切换 2. 提升执行权限 三.PAM安全认证 1.PAM认 ...
- lqc_更新系统+弱口令扫描+nmap
实验四:更新系统+弱口令扫描+nmap 1.添加yum及更新系统 a.更新设置:(必须先安装好三个yum源) echo "0 3 * * 6 yum -y update" > ...
- 打造自己的弱口令扫描工具
在内网检测中,弱口令扫描是必不可少的环节,选择一个好用的弱口令扫描工具,尤为重要. 我曾写过一款弱口令检测工具,经常有童鞋在后台询问关于iscan源代码的事情,但其实通过Python打造自己的弱口令扫 ...
- 弱口令扫描工具mysql ftp_基于端口的弱口令检测工具--iscan
iscan: 基于端口的弱口令检测工具 亲手打造了一款基于端口的弱口令检测工具,使用python进行编写,主要可以用于渗透测试中常见服务端口弱口令的检测.目前支持以下服务: 系统弱口令:ftp.ssh ...
- 局域网弱口令扫描工具_漏洞扫描软件AWVS的介绍和使用
什么是AWVS? Acunetix Web Vulnerability Scanner(AWVS)是用于测试和管理Web应用程序安全性的平台,能够自动扫描互联网或者本地局域网任何网站中是否存在漏洞,并 ...
- 黑客开始利用云计算暴力破解密码
本文讲的是黑客开始利用云计算暴力破解密码[IT168 云计算频道]使用云计算服务来替代在公司里设立维护大量服务器,显然对节省企业的成本有利.不过现在看来从云计算服务中受惠最大的恐怕是黑客等群体,黑客们 ...
- 20220215-CTF-MISC-BUUCTF-小明的保险箱-binwalk分析-dd命令分离出RAR文件-ARCHPR暴力破解密码
CTF-MISC-BUUCTF-小明的保险箱 小明有一个保险箱,里面珍藏了小明的日记本,他记录了什么秘密呢?...告诉你,其实保险箱的密码四位纯数字密码.(答案格式:flag{答案},只需提交答案) ...
- 如何防止自己的云服务器被暴力破解密码(限制暴力破解并发送邮件到自己的邮箱)
如何防止自己的云服务器被暴力破解密码(限制暴力破解并发送邮件到自己的邮箱) 今天看到自己的阿里云服务器被别有用心的人gank一波,于是才想到得设置一套完美的防火墙策略了 首先黑客登录失败的日志为/va ...
- Python:暴力破解密码 - 压缩包、web实战
简介:常规情况下,由于web自身的服务资源,带宽,吞吐率的原因,存在访问上线的情况,这和极端情况下本地直接即时访问,即时反馈的机制是完全不可等同的.另外暴力破解密码这种行为本身就是一个徘徊为灰色地带的 ...
最新文章
- 删除所有数据_mysql数据库操作——数据库的增删改查
- 解决×××无法上网的心得
- grep awk sed 实例
- 启明智显分享| 2.4寸旋钮串口屏在健身器材上的应用
- 微信摇一摇插件ios_微信开发平台 Jeewx-Boot
- Android之不需要自定义View(ViewfindView.java)最简单的二维码扫描
- 数据管理与商业智能_商业智能与数据科学
- 2021巨量引擎汽车直播行业研究报告
- LeetCode: Valid Sudoku
- 存储当时android,Android之外部存储(SD卡)
- if单分支,二分支,多分支
- [Java] 蓝桥杯ALGO-64 算法训练 大小写判断
- 麦克纳姆轮全向移动机器人横向直线运动分析
- bootstrap css div布局,从css源码理解bootstrap布局容器和栅格系统
- seekbar 的用法
- 3dmax 2022卸载方法,怎么完全彻底卸载删除清理干净3dmax 2022各种残留注册表和文件?
- 操作系统PV编程题目总结一
- ARTS打卡10-抓住海森堡Bug
- 软考_软件设计师_计算机组成与体系结构篇(8k字干货只为助力备考软考的你)
- 如何让c语言输出字符响一声,printf()用法