WEB安全之如何挖掘弱口令

WEB安全之如何挖掘弱口令

转载  i春秋

0x01  前言

我知道我起这个标题会被很多人鄙视，不就是爆破么？搞得像是谁不会一样。对此，我只想说，那你打我呀！今天会讲的是普通爆破跟使用BURP对MD5加密的密码进行爆破。

0x02  什么是弱口令弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险，因此不推荐用户使用。（百科抄的，个人认为大家都知道这是啥）

0x02  弱口令的危害

在当今很多地方以用户名(帐号)和口令作为鉴权的世界，口令的重要性就可想而知了。口令就相当于进入家门的钥匙，当他人有一把可以进入你家的钥匙，想想你的安全、你的财物、你的隐私......害怕了吧。因为弱口令很容易被他人猜到或破解，所以如果你使用弱口令，就像把家门钥匙放在家门口的垫子下面，是非常危险的。（还是百度抄的）

0x03  普通的爆破

在一般挖洞的时候，遇到后台，看到登录框，第一个想到是什么？没错就是爆破。

就像这样的一个后台~

我一般使用的爆破的工具是：Burp Suite

浏览器使用的火狐，推荐一个火狐的插件FoxyProxy Standard，很好用的一个插件

我们设置好代理

找个登录框，随便填入，抓包

右键，跟着步骤一起做

（这个很详细吧？）

然后就坐等结果

可以从返回长度来判断是否成功

0x03  密码本地MD5加密的爆破

某些网站为了防止爆破的情况，在登录的时候做了一次MD5加密，就像。。。这样

然后我们模仿之前的样子，导入好字典，然后设置如下

然后选择OK      开始爆破

可以看到我们的密码，都已经变成MD5了，这样就可以爆破了

其他加密方式同理