密碼爆破,就是把成千上萬組可能的密碼,一組組往登入頁面丟,直到運氣好「猜中」密碼,成功登入。
這種土炮方法其實在真實世界非常有用,尤其當有人用「123456」、「password」、「abcd1234」這種超爛密碼時,根本擋不住駭客!
Kali Linux 內建的 Hydra,堪稱弱密碼爆破神器。它可以自動針對目標服務(不管是SSH、FTP、POP3還是HTTP網頁),搭配字典,一口氣把所有可能密碼和帳號通通試一遍,比人手動用瀏覽器要快上好幾百倍。
指定目標服務、帳號、密碼字典:
hydra -l 用戶名 -P /usr/share/wordlists/rockyou.txt ssh://192.168.31.173
若是一台有很多可能帳號,可以用:
hydra -L users.txt -P passwords.txt ssh://192.168.31.173
這裡 -L 跟 -P 是分別指定帳號跟密碼列表。
Hydra能打的目標服務一長串:SSH、FTP、SMB、HTTP、RDP、POP3、MySQL、MSSQL…
只要對應協定、帳號密碼格式寫對,基本都有範例命令可用
Gophish是一款模擬釣魚攻擊的安全教育平台,專門「測驗」員工、學生遇到假信、假網站有沒有警覺性。讓資安培訓很有臨場感,不再只是說教。
安裝與啟動:下載Gophish,不需太多設定,啟動後用瀏覽器進入管理介面(預設 http://localhost:3333)。
設計釣魚信件:自訂信件主旨、內容、連結,設計成公司通知、假蝦皮優惠、微信驗證等(要有創意!)。
(到這裡我就卡住了,gmail無權限~~~~~)
建立釣魚網站模板:仿造真登入頁,只要受測者輸入帳密,系統就記錄下來。
匯入名單與發送:把受測者(目標)的email名單放進去,一鍵就能發所有釣魚信。
結果追蹤與報告:能詳列「誰點信了?」「誰真的輸入了密碼?」「開信、點擊比率」等等,超適合做安全教育。
(本來很想嘗試各種密碼攻破及信件寄送,但發現我的google權限可能不太行~~~,所以做不到密碼跟釣魚防護的最後實作!!!這次做這個工具分給大家。)
(本來很想嘗試各種密碼攻破及信件寄送,但發現我的google權限可能不太行~~~,所以做不到密碼跟釣魚防護的最後實作!!!這次做這個工具分給大家。)
來源
https://blog.csdn.net/wangyuxiang946/article/details/128194559
https://blog.davidou.org/archives/2633
https://blog.csdn.net/weixin_64312503/article/details/133961623
http://atic-tw.blogspot.com/2014/02/hydra.html
https://shazi.info/hydra-%E6%9A%B4%E5%8A%9B%E7%A0%B4%E8%A7%A3%E5%AF%86%E7%A2%BC%E5%B7%A5%E5%85%B7-%E5%AF%A6%E6%88%B0%E6%B8%AC%E8%A9%A6/
kali 實作 https://hackmd.io/@asd0713/SJ-vDgWC2
https://www.scribd.com/document/836823579/Kali-Linux%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E5%BC%B1%E5%8F%A3%E4%BB%A4%E7%88%86%E7%A0%B4%E5%B8%B8%E7%94%A8%E5%91%BD%E4%BB%A4-%E4%BA%8C
https://worktile.com/kb/ask/1222127.html
iThome鐵人賽
看影片追技術