千鋒網(wǎng)絡(luò)安全教程：第5章、掃描與密碼暴破-千鋒-各類服務(wù)密碼爆破(共18頁)

1、口令破解口令安全威脅-概述現(xiàn)在很多地方都以用戶名（賬號）和口令（密碼）作為鑒權(quán)的方式，口令（密碼）就意味著訪問權(quán)限。口令（密碼）就相當(dāng)于進入家門的鑰匙，當(dāng)他人有一把可以進入你家的鑰匙，想想你的安全、你的財務(wù)、你的隱私、害怕了吧。例如網(wǎng)站后臺、數(shù)據(jù)庫、服務(wù)器、個人電腦、QQ、郵箱等等-口令安全現(xiàn)狀 弱口令類似于123456、654321、admin123 等這樣常見的弱密碼。 默認口令很多應(yīng)用或者系統(tǒng)都存在默認口令。比如phpstudy 的mysql 數(shù)據(jù)庫默認賬密root/root，Tomcat 管理控制臺默認賬密tomcat/tomcat等。 明文傳輸比如http、ftp、telnet 等服

2、務(wù)，在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)流都是明文的，包括口令認證信息等。這樣的服務(wù)，就有被嗅探的風(fēng)險。破解方式-暴力破解暴力破解就是利用所有可能的字符組成密碼，去嘗試破解。這是最原始，粗暴的破解方法，根據(jù)運算能力，如果能夠承受的起時間成本的話，最終一定會爆破出密碼。下表是不同字符集合不同位數(shù)密碼的數(shù)量。字符集密碼位數(shù)密碼空間0-98 位108=1000000000-9a-z8 位368=28211099074560-9a-z1-8 位?下圖為用真空密碼字典生成器，生成的1到8位數(shù)的小寫字母和數(shù)字字典，約占用空間。-字典破解如果能通過比較合理的條件，篩選或者過濾掉一些全字符組合的內(nèi)容，就會大幅降低爆破的成本。我

3、們把篩選出的密碼組合成特定的字典。在用字典爆破密碼也是可以的，但是這樣做有可能會漏掉真正的密碼。密碼字典大致分為以下幾類。 弱口令字典比如123456，admin 等這樣的默認口令或弱口令。 社工字典人們在設(shè)置密碼的時候，往往為了便于記憶，密碼的內(nèi)容和組合會與個人信息有關(guān)，比如常見的密碼組合“名字+生日”。社工字典更具針對性，準確率也比較高。下圖為，根據(jù)提供的用戶信息，使用亦思社會工程學(xué)字典生成器生成的用戶可能使用的密碼，通過此字典進行密碼破解。字符集字典如果能確定密碼的字符集合，也將大大降低爆破的成本。windows口令破解-windows口令遠程爆破我們可以通過NTScan 工具遠程爆破w

4、indows 口令工具NTScan使用場景本地網(wǎng)絡(luò)（局域網(wǎng)）支持模式139/445| 支持IPC/SMB/WMI 三種掃描模式字典文件NT_user.dic/NT_pass.dic如何防止NTscan 掃描？secpol.msc本地策略->安全選項->網(wǎng)絡(luò)訪問：本地賬戶的共享和安全模式屬性->僅來賓模式。-windows賬戶hash值破解除了可以從遠程爆破windows 密碼，我們還可以在本地破解windows 密碼。本地windows 賬戶破解主要有兩種方式。 從內(nèi)存中讀取windows 密碼我們可以是用getpass 直接從windows 系統(tǒng)內(nèi)存中讀取莊戶密碼。 win

5、dows hash 值破解windows hash 值破解一共需要兩步操作。首先我們使用QuarksPwDump工具讀?。▽?dǎo)出）windows 賬戶密碼hash 值，然后再使用SAMinside 工具破解hash 值。實驗：windows 口令遠程爆破-環(huán)境說明win7攻擊機橋接與win2008 同一內(nèi)網(wǎng)win2008靶機橋接0使用NTScan進行掃描之前，查看密碼字典。用戶名字典。-配置NTscan輸入起始IP，其他默認保持不變，點擊開始，等待掃描結(jié)束。如果爆破密碼，會出現(xiàn)在軟件的下方。由此可見，我們已經(jīng)爆破出來windows2008的賬密administrator/。-

6、深度利用左鍵點擊這個地址，會出現(xiàn)一個Connect，點擊可以進入一個NTcmd界面。我們可以在NTcmd中輸入命令，如下圖：此時密碼破解成功，可以看到我們?yōu)閟ystem權(quán)限。實驗：windows hash 值破解-導(dǎo)出windows 密碼hash 值先在windows7虛擬機中打開一個cmd窗口，把QuarksPwDump這個軟件托到命令行中。拖到命令行之后，回車出現(xiàn)以下界面：我們需要進入到QuarksPwDump軟件所在的根目錄輸入QuarksPwDump.exe dhl命令，導(dǎo)出windows 賬戶hash 值。注：在導(dǎo)出hash值時，會閃退一下，重新操作一遍會看到以下內(nèi)容。將得到的has

7、h值復(fù)制到hash.txt文檔中。-使用SAMside 破解hash 值打開SAMinside軟件，破解hash值，具體使用方法見下圖。將我們的hash.txt文件打開。打開文件后，就會自動將我們的windows7的密碼破解出來了。由于我們本課程中的素材使用的密碼比較簡單，所以直接會顯示出密碼，實際上SAMside 支持暴力破解、字典破解、掩碼攻擊等方式。linux口令破解linux 口令破解，也分遠程破解與本地破解。遠程破解主要是爆破ssh 服務(wù)，屬于在線密碼攻擊。本地破解需要拿到linux 的shadow 文件，進行hash 值破解，屬于離線密碼攻擊。-破解SSH服務(wù)我們使用hydra 攻

8、擊破解ssh 服務(wù)，hydra 攻擊已經(jīng)自動集成在kali 虛擬機中。命令如下hydra -l root -P /root/dic/test_pwd.dic 9 ssh -vV在命令行輸入hydra，出現(xiàn)以下內(nèi)容可以看到，我們的hydra是8.3版本的。準備兩個字典，test_pwd.dic和test_user.dic，由于做實驗，可以自己編寫一個用戶名字典和密碼字典將kali虛擬機接為橋接模式，用ifconfig命令查看IP地址，并輸入命令hydra -l root -P /root/dic/test_pwd.dic 9 ssh -vV爆破ssh服務(wù)密

9、碼。-本地shadow文件破解我們可以使用john 工具，破解shadow 密碼文件。john 有windows 版和linux 版本。john 也是自動集成在kali 中。john 破解的時候也需要準備一個字典。 john 的具體命令如下john -wordlist=/root/dic/test_pwd.dic /etc/shadow john -show /etc/shadow網(wǎng)絡(luò)服務(wù)口令破解在滲透測試中，我們同樣會對各種服務(wù)的口令進行審計。-破解MSSQL 口令本實驗，需要搭建一個SQL server2000服務(wù)管理器，開啟后在kali虛擬機中輸入以下命令：hydra -l sa -P

10、/root/dic/test_pwd.dic 7 mssql -vV-破解RDP口令開啟RDP 服務(wù)右鍵計算機à屬性à遠程設(shè)置à遠程à勾選運行任意版本遠程桌面的計算機連接。使用命令netstat -an 查看3389端口是否開啟。打開kali虛擬機輸入以下命令，進行爆破hydra -l administrator -P /root/dic/test_pwd.dic 5 rdp -vV-破解FTP口令打開我們的kali虛擬機，輸入以下命令：hydra -L /root/dic/test_user.dic -P /root/dic/test_pwd.dic 1 ftp -vV進行爆破FTP服務(wù)器結(jié)果如下在線密碼查詢網(wǎng)站在線密碼查詢網(wǎng)站主要是查詢md5 hash 值得。這樣的網(wǎng)站有:附錄：FTP 服務(wù)器的搭建-搭建FTP 服務(wù)器準備一臺windows2003虛擬機，并在虛擬機中搭建FTP服務(wù)器。具體的FTP服務(wù)器搭建過程見網(wǎng)絡(luò)部分