THC-Hydra(thchydra下载)

暴力破解与验证码安全

暴力破解 ：暴力破解简单来说就是将密码进行逐个测试，直到找出正确的密码为止

? ? 暴力破解：是一攻击具手段，在web攻击中，一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录，直到得到正确的结果。为了提高效率，暴力破解一般会使用带有字典的工具来进行自动化操作

? ? 暴力破解漏洞：如果一个web应用系统没有采用或者采用了比较弱的认证安全策略，导致其被暴力破解的“可能性”变的比较高

暴力破解前准备 ：

? ? 1.?web系统的认证安全策略：

? ??????是否要求用户设置复杂的密码；

????????是否每次认证都使用安全的验证码

????????是否对尝试登录的行为进行判断和限制（如：连续5次错误登录，进行账号锁定或IP地址锁定等）

????????是否采用了双因素认证

????????认证过程是否带有token信息

2.工具准备：准备合适的暴力破解工具以及一个有郊的字典

三个要点：

? ? ? ?1. 对目标网站进行注册，搞清楚帐号密码的一些限制，比如目标站点要求密码必须是8位以上，字母数字组合，则可以按照此优化字典，比如去掉不符合要求的密码

? ? ? ? 2. web管理面密码使用admin/administrator/root帐号的机率较高，可以使用这三个帐号+随便一个密码字典进行暴力破解

? ? ? ? 3.?破解过程中一定要注意观察提示，如有“用户名或密码错误”“密码错误”“用户名不存在”等相关提示,可进一步利用

暴力破解分类 ：

? ? B/S模式：浏览器服务器模式的认证过程是http协议实现的，因此可以用burpsuite抓包工具来破解

? ? ????1. 不带验证码的认证的破解：可直接使用burpsuite加密码字典破解

? ? ????2. 带验证码的认证的破解：如果是前端验证可使用burpsuite抓包绕过验证码来暴力破解，如果是后端验证，可使用爆破工具（如pkav）外接验证码识别器来暴力破解。（如果后台验证过程中验证码没有立即销毁，此验证码可使用24分钟）

? ? ????3. 带token信息的认证的破解：（Token是服务端生成的一串字符串，以作客户端进行请求的一个令牌，客户端带上token代表具有执行某些操作的权利）token信息每次都不一样，需要burpsuite将服务器返回的token取出用于下一次请求。

? ? C/S模式：客户端服务器模式的认证过程有多种协议实现的，因此需要用专用的集成化破解工具来破解,例如 Hydra、Bruter、X-scan

? ? ? ? 工具：

????????????Bruter：密码暴力破解工具

? ??????????Hydra：hydra是著名黑客组织thc的一款开源的暴力密码破解工具，支持多种协议，可以在线破解多种应用密码。

暴力破解的防范 ：增加web系统的认证安全策略

? ??要求用户设置复杂的密码

? ??每次认证都使用安全的验证码

? ??对尝试登录的行为进行判断和限制

? ??采用双因素认证

? ??认证过程带token信息

验证码安全 ：

????????是一种区分用户是计算机还是人的全自动程序，可以防止：密码暴力破解、刷票、论坛灌水。可有效防护黑客对特定用户的密码暴力破解。

验证码分类 ：

? ??Gif动画验证码

????手机短信验证码

????手机语音验证码

????视频验证码

验证码常见安全问题 ：

????客户端问题

????服务端问题

????基于Token验证

????验证码太简单，容易被机器识别

????暴破验证码

验证码安全防护 ：

? ??1) 强制要求输入验证码，否则，必须实施IP策略。 注意不要被X-Forwaded-For绕过了！

????2) 验证码只能用一次，用完立即过期！不能再次使用

????3) 验证码不要太弱。扭曲、变形、干扰线条、干扰背景色、变换字体等。

????4) 大网站最好统一安全验证码，各处使用同一个验证码接口

思路点：暴力破解和验证码安全破解时也可以熟悉认证业务过程，并试图在业务过程中寻找业务逻辑漏洞。

弱口令：属于暴力破解漏洞的一种，是web认证界面使用了常用的或者较简单的用户名密码，使暴力破解变得简单。

常常用到破解密码的软件有哪些呀

·密码查看器 V1.86 Build 0411

·Passware Kit Enterprise v7.5 build 1764 注册版

·MD5Crack V3.2

·网页加密程序

·盛大密保狙击者V1.0

·Cain Abel v2.7.8 for Windows NT/2000/XP

·ASP木马加密解密工具 火狐专版

·PasswordsPro v1.3.1.0

·Advanced RAR Password Recovery 1.53 build 12 注册版

·E话通密码瞬间找回器 v1.0

·最新免杀网马生成器阿福修改版

·Windows Key Enterprise Edition v7.5 Build 1837 注册版

·Turbo Zip Cracker 0.3 注册版

·密码监听器 V2.4 破解版

·Money Key v7.1.1467 注册版

·Elcomsoft Advanced Password Recovery Studio 2005 零售版

·THC-Hydra v5.0 For Win32版本+源代码

·Advanced VBA Password Recovery v1.60 注册版

·Proactive System Password Recovery v4.1 注册版

·WordPerfect Key v7.1.1467 注册版

如何对网站进行渗透测试和漏洞扫描

零、前言

渗透测试在未得到被测试方授权之前依据某些地区法律规定是违法行为。 这里我们提供的所有渗透测试方法均为（假设为）合法的评估服务，也就是通常所说的道德黑客行为（Ethical hacking），因此我们这里的所有读者应当都是Ethical Hackers，如果您还不是，那么我希望您到过这里后会成为他们中的一员 ；）

这里，我还想对大家说一些话：渗透测试重在实践，您需要一颗永不言败的心和一个有着活跃思维的大脑。不是说您将这一份文档COPY到您网站上或者保存到本地电脑您就会了，即使您将它打印出来沾点辣椒酱吃了也不行，您一定要根据文档一步一步练习才行。而且测试重在用脑，千万别拿上一两个本文中提到的工具一阵乱搞，我敢保证：互联网的安全不为因为这样而更安全。祝您好运。。。

一、简介

什么叫渗透测试？

渗透测试最简单直接的解释就是：完全站在攻击者角度对目标系统进行的安全性测试过程。

进行渗透测试的目的？

了解当前系统的安全性、了解攻击者可能利用的途径。它能够让管理人员非常直观的了解当前系统所面临的问题。为什么说叫直观呢？就像Mitnick书里面提到的那样，安全管理（在这里我们改一下，改成安全评估工作）需要做到面面俱到才算成功，而一位黑客（渗透测试）只要能通过一点进入系统进行破坏，他就算是很成功的了。

渗透测试是否等同于风险评估？

不是，你可以暂时理解成渗透测试属于风险评估的一部分。事实上，风险评估远比渗透测试复杂的多，它除渗透测试外还要加上资产识别，风险分析，除此之外，也还包括了人工审查以及后期的优化部分（可选）。

已经进行了安全审查，还需要渗透测试吗？

如果我对您说：嘿，中国的现有太空理论技术通过计算机演算已经能够证明中国完全有能力实现宇航员太空漫步了，没必要再发射神8了。您能接受吗？

渗透测试是否就是黑盒测试？

否，很多技术人员对这个问题都存在这个错误的理解。渗透测试不只是要模拟外部黑客的入侵，同时，防止内部人员的有意识（无意识）攻击也是很有必要的。这时，安全测试人员可以被告之包括代码片段来内的有关于系统的一些信息。这时，它就满足灰盒甚至白盒测试。

渗透测试涉及哪些内容?

技术层面主要包括网络设备，主机，数据库，应用系统。另外可以考虑加入社会工程学（入侵的艺术/THE ART OF INTRUSION）。

渗透测试有哪些不足之处？

主要是投入高，风险高。而且必须是专业的Ethical Hackers才能相信输出的最终结果。

你说的那么好，为什么渗透测试工作在中国开展的不是很火热呢？

我只能说：会的，一定会的。渗透测试的关键在于没法证明你的测试结果就是完善的。用户不知道花了钱证明了系统有问题以后，自己的安全等级到了一个什么程序。但是很显然，用户是相信一个专业且经验丰富的安全团队的，这个在中国问题比较严重。在我接触了一些大型的安全公司进行的一些渗透测试过程来看，测试人员的水平是对不住开的那些价格的，而且从测试过程到结果报表上来看也是不负责的。我估计在三年以后，这种情况会有所改观，到时一方面安全人员的技术力量有很大程度的改观，另一方面各企业对渗透测试会有一个比较深刻的理解，也会将其做为一种IT审计的方式加入到开发流程中去。渗透测试的专业化、商业化会越来越成熟。

二、制定实施方案

实施方案应当由测试方与客户之间进行沟通协商。一开始测试方提供一份简单的问卷调查了解客户对测试的基本接收情况。内容包括但不限于如下：

目标系统介绍、重点保护对象及特性。

是否允许数据破坏？

是否允许阻断业务正常运行？

测试之前是否应当知会相关部门接口人？

接入方式？外网和内网？

测试是发现问题就算成功，还是尽可能的发现多的问题？

渗透过程是否需要考虑社会工程？

。。。

在得到客户反馈后，由测试方书写实施方案初稿并提交给客户，由客户进行审核。在审核完成后，客户应当对测试方进行书面委托授权。这里，两部分文档分别应当包含如下内容：

实施方案部分：

...

书面委托授权部分：

...

三、具体操作过程

1、信息收集过程

网络信息收集:

在这一部还不会直接对被测目标进行扫描，应当先从网络上搜索一些相关信息，包括Google Hacking， Whois查询， DNS等信息（如果考虑进行社会工程学的话，这里还可以相应从邮件列表/新闻组中获取目标系统中一些边缘信息如内部员工帐号组成，身份识别方式，邮件联系地址等）。

1.使用whois查询目标域名的DNS服务器

2.nslookup

set type=all

domain

server ns server

set q=all

ls -d domain

涉及的工具包括：Google,Demon,webhosting.info,Apollo,Athena,GHDB.XML,netcraft,seologs　除此之外，我想特别提醒一下使用Googlebot/2.1绕过一些文件的获取限制。

Google hacking 中常用的一些语法描述

1.搜索指定站点关键字site。你可以搜索具体的站点如site:。使用site:nosec.org可以搜索该域名下的所有子域名的页面。甚至可以使用site:org.cn来搜索中国政府部门的网站。

2.搜索在URL网址中的关键字inurl。比如你想搜索带参数的站点，你可以尝试用inurl:asp?id=

3.搜索在网页标题中的关键字intitle。如果你想搜索一些登陆后台，你可以尝试使用intitle:"admin login"

目标系统信息收集:

通过上面一步，我们应当可以简单的描绘出目标系统的网络结构，如公司网络所在区域，子公司IP地址分布，VPN接入地址等。这里特别要注意一些比较偏门的HOST名称地址，如一些backup开头或者temp开关的域名很可能就是一台备份服务器，其安全性很可能做的不够。

从获取的地址列表中进行系统判断，了解其组织架构及操作系统使用情况。最常用的方法的是目标所有IP网段扫描。

端口/服务信息收集:

这一部分已经可以开始直接的扫描操作，涉及的工具包括：nmap,thc-amap

1.我最常使用的参数

nmap -sS -p1-10000 -n -P0 -oX filename.xml --open -T5 ip address

应用信息收集：httprint，SIPSCAN，smap

这里有必要将SNMP拿出来单独说一下，因为目前许多运营商、大型企业内部网络的维护台通过SNMP进行数据传输，大部分情况是使用了默认口令的，撑死改了private口令。这样，攻击者可以通过它收集到很多有效信息。snmp-gui，HiliSoft MIB Browser，mibsearch，net-snmp都是一些很好的资源。

2、漏洞扫描

这一步主要针对具体系统目标进行。如通过第一步的信息收集，已经得到了目标系统的IP地址分布及对应的域名，并且我们已经通过一些分析过滤出少许的几个攻击目标，这时，我们就可以针对它们进行有针对性的漏洞扫描。这里有几个方面可以进行：

针对系统层面的工具有：ISS, Nessus, SSS, Retina, 天镜, 极光

针对WEB应用层面的工具有：AppScan, Acunetix Web Vulnerability Scanner, WebInspect, Nstalker

针对数据库的工具有：ShadowDatabaseScanner, NGSSQuirreL

针对VOIP方面的工具有：PROTOS c07 sip(在测试中直接用这个工具轰等于找死)以及c07 h225, Sivus, sipsak等。

事实上，每个渗透测试团队或多或少都会有自己的测试工具包，在漏洞扫描这一块针对具体应用的工具也比较个性化。

3、漏洞利用

有时候，通过服务/应用扫描后，我们可以跳过漏洞扫描部分，直接到漏洞利用。因为很多情况下我们根据目标服务/应用的版本就可以到一些安全网站上获取针对该目标系统的漏洞利用代码，如milw0rm, securityfocus,packetstormsecurity等网站，上面都对应有搜索模块。实在没有，我们也可以尝试在GOOGLE上搜索“应用名称 exploit”、“应用名称 vulnerability”等关键字。

当然，大部分情况下你都可以不这么麻烦，网络中有一些工具可供我们使用，最著名的当属metasploit了，它是一个开源免费的漏洞利用攻击平台。其他的多说无益，您就看它从榜上无名到冲进前五（top 100)这一点来说，也能大概了解到它的威力了。除此之外，如果您（您们公司）有足够的moeny用于购买商用软件的话，CORE IMPACT是相当值得考虑的，虽然说价格很高，但是它却是被业界公认在渗透测试方面的泰山北斗，基本上测试全自动。如果您觉得还是接受不了，那么您可以去购买CANVAS，据说有不少0DAY，不过它跟metasploit一样，是需要手动进行测试的。最后还有一个需要提及一下的Exploitation_Framework，它相当于一个漏洞利用代码管理工具，方便进行不同语言，不同平台的利用代码收集，把它也放在这里是因为它本身也维护了一个exploit库，大家参考着也能使用。

上面提到的是针对系统进行的，在针对WEB方面，注入工具有NBSI, OWASP SQLiX, SQL Power Injector, sqlDumper, sqlninja, sqlmap, Sqlbftools, priamos, ISR-sqlget***等等。

在针对数据库方面的工具有：

数据库 工具列表 Oracle（1521端口）: 目前主要存在以下方面的安全问题：

1、TNS监听程序攻击（sid信息泄露,停止服务等）

2、默认账号(default password list)

3、SQL INJECTION（这个与传统的意思还不太一样）

4、缓冲区溢出，现在比较少了。 thc-orakel, tnscmd, oscanner, Getsids, TNSLSNR, lsnrcheck, OAT, Checkpwd, orabf MS Sql Server（1433、1434端口） Mysql（3306端口） DB2（523、50000、50001、50002、50003端口） db2utils Informix（1526、1528端口）

在针对Web服务器方面的工具有：

WEB服务器 工具列表 IIS IISPUTSCANNER Tomcat 想起/admin和/manager管理目录了吗？另外，目录列表也是Tomcat服务器中最常见的问题。比如5.*版本中的;index.jsp

"../manager/html

;cookievalue=%5C%22FOO%3B+Expires%3DThu%2C+1+Jan+2009+00%3A00%3A01+UTC%3B+Path%3D%2F%3B

;cookievalue=%5C%22A%3D%27%3B+Expires%3DThu%2C+1+Jan+2009+00%3A00%3A01+UTC%3B+Path%3D%2Fservlets-examples%2Fservlet+%3B JBOSS jboss的漏洞很少，老版本中8083端口有%符号的漏洞：

GET %. HTTP/1.0可以获取物理路径信息，

GET %server.policy HTTP/1.0可以获取安全策略配置文档。

你也可以直接访问GET %org/xxx/lib.class来获取编译好的java程序，再使用一些反编译工具还原源代码。 Apache Resin

;servletpath=file=WEB-INF/web.xml

;servletpath=file=WEB-INF/classes/com/webapp/app/target.class

[path]/[device].[extension]

.."web-inf

[path]/%20.xtp WebLogic

Web安全测试主要围绕几块进行：

Information Gathering：也就是一般的信息泄漏，包括异常情况下的路径泄漏、文件归档查找等

Business logic testing：业务逻辑处理攻击，很多情况下用于进行业务绕过或者欺骗等等

Authentication Testing：有无验证码、有无次数限制等，总之就是看能不能暴力破解或者说容不容易通过认证，比较直接的就是“默认口令”或者弱口令了

Session Management Testing：会话管理攻击在COOKIE携带认证信息时最有效

Data Validation Testing：数据验证最好理解了，就是SQL Injection和Cross Site Script等等

目前网上能够找到许多能够用于进行Web测试的工具，根据不同的功能分主要有：

枚举（Enumeration）： DirBuster, http-dir-enum, wget

基于代理测试类工具：paros, webscarab, Burp Suite

针对WebService测试的部分有一些尚不是很成熟的工具，如：wsbang，wschess，wsmap，wsdigger，wsfuzzer

这一部分值得一提的是，很多渗透测试团队都有着自己的测试工具甚至是0DAY代码，最常见的是SQL注入工具，现网开发的注入工具（如NBSI等）目前都是针对中小企业或者是个人站点/数据库进行的，针对大型目标系统使用的一些相对比较偏门的数据库系统（如INFORMIX，DB2）等，基本上还不涉及或者说还不够深入。这时各渗透测试团队就开发了满足自身使用习惯的测试工具。

在针对无线环境的攻击有：WifiZoo

4、权限提升

在前面的一些工作中，你或许已经得到了一些控制权限，但是对于进一步攻击来说却还是不够。例如：你可能很容易的能够获取Oracle数据库的访问权限，或者是得到了UNIX(AIX,HP-UX,SUNOS)的一个基本账号权限，但是当你想进行进一步的渗透测试的时候问题就来了。你发现你没有足够的权限打开一些密码存储文件、你没有办法安装一个SNIFFER、你甚至没有权限执行一些很基本的命令。这时候你自然而然的就会想到权限提升这个途径了。

目前一些企业对于补丁管理是存在很大一部分问题的，他们可能压根就没有想过对一些服务器或者应用进行补丁更新，或者是延时更新。这时候就是渗透测试人员的好机会了。经验之谈：有一般权限的Oracle账号或者AIX账号基本上等于root，因为这就是现实生活。

5、密码破解

有时候，目标系统任何方面的配置都是无懈可击的，但是并不是说就完全没办法进入。最简单的说，一个缺少密码完全策略的论证系统就等于你安装了一个不能关闭的防盗门。很多情况下，一些安全技术研究人员对此不屑一顾，但是无数次的安全事故结果证明，往往破坏力最大的攻击起源于最小的弱点，例如弱口令、目录列表、SQL注入绕过论证等等。所以说，对于一些专门的安全技术研究人员来说，这一块意义不大，但是对于一个ethical hacker来说，这一步骤是有必要而且绝大部分情况下是必须的。；）

目前比较好的网络密码暴力破解工具有：thc-hydra，brutus

hydra.exe -L users.txt -P passwords.txt -o test.txt -s 2121 ftp

目前网络中有一种资源被利用的很广泛，那就是rainbow table技术，说白了也就是一个HASH对应表，有一些网站提供了该种服务，对外宣称存储空间大于多少G，像rainbowcrack更是对外宣称其数据量已经大于1.3T。

针对此种方式对外提供在线服务的有：

网址 描述 rainbowcrack 里面对应了多种加密算法的HASH。 数据量全球第一，如果本站无法破解，那么你只能去拜春哥...

当然，有些单机破解软件还是必不可少的：Ophcrack，rainbowcrack（国人开发，赞一个），cain，L0phtCrack（破解Windows密码），John the Ripper（破解UNIX/LINUX）密码，当然，还少不了一个FindPass...

针对网络设备的一些默认帐号，你可以查询和

在渗透测试过程中，一旦有机会接触一些OFFICE文档，且被加了密的话，那么，rixler是您马上要去的地方，他们提供的OFFICE密码套件能在瞬间打开OFFICE文档（2007中我没有试过，大家有机会测试的话请给我发一份测试结果说明，谢谢）。看来微软有理由来个补丁什么的了。对于企业来说，您可以考虑使用铁卷或者RMS了。

6、日志清除

It is not necessary actually.

7、进一步渗透

攻入了DMZ区一般情况下我们也不会获取多少用价值的信息。为了进一步巩固战果，我们需要进行进一步的内网渗透。到这一步就真的算是无所不用其及。最常用且最有效的方式就是Sniff抓包（可以加上ARP欺骗）。当然，最简单的你可以翻翻已入侵机器上的一些文件，很可能就包含了你需要的一些连接帐号。比如说你入侵了一台Web服务器，那么绝大部分情况下你可以在页面的代码或者某个配置文件中找到连接数据库的帐号。你也可以打开一些日志文件看一看。

除此之外，你可以直接回到第二步漏洞扫描来进行。

四、生成报告

报告中应当包含：

薄弱点列表清单（按照严重等级排序）

薄弱点详细描述（利用方法）

解决方法建议

参与人员/测试时间/内网/外网

五、测试过程中的风险及规避

在测试过程中无可避免的可能会发生很多可预见和不可预见的风险，测试方必须提供规避措施以免对系统造成重大的影响。以下一些可供参考：

1. 不执行任何可能引起业务中断的攻击（包括资源耗竭型DoS，畸形报文攻击，数据破坏）。

2. 测试验证时间放在业务量最小的时间进行。

3. 测试执行前确保相关数据进行备份。

4. 所有测试在执行前和维护人员进行沟通确认。

5. 在测试过程中出现异常情况时立即停止测试并及时恢复系统。

6. 对原始业务系统进行一个完全的镜像环境，在镜像环境上进行渗透测试。

hydra破解成功依赖于什么？

尽管暴力破解密码是一种低级的破解技巧，但在对那些使用默认密码和密码过于简单的的用户是一种不错的方法。hydra是著名黑客组织thc的一款开源的暴力密码破解工具，可以在线破解多种密码，检查服务器是否安全。

polenum,可以获取哪些信息

目前，帐号仍然是最主要的用户身份认证方式，但由于安全意识的淡漠，很多人仍在使用弱口令。而一旦泄漏，所有安全防范机制都将形同虚设。

本课程《用户口令审计》是『Kali Linux工具大全』技术系列的第5部分。向大家详述Kali Linux中全部在线/离线弱口令审计工具的用法，以此来帮助大家提前发现自己系统中的弱口令问题。

?

用户口令审计工具介绍

1、crunch

在面对妥善保护的系统时，我们可能很难发现其漏洞和可渗透的突破口。作为渗透测试人员，此时应尝试对目标系统进行弱密码的检测。密码**成败的关键在于字典的质量，crunch是一个密码字典生成器，它可以灵活的按照规则生成定制的密码字典，为了方便使用，其内建了常用的字符集文件，并支持自定义密码构成元素。

2、wordlists / SecLists

在面对妥善保护的系统时，我们可能很难发现其漏洞和可渗透的突破口。作为渗透测试人员，此时应尝试对目标系统进行弱密码的检测，密码**成败的关键在于字典的质量。为了方便使用，Kali中已默认包含了大量通用密码字典，它们分别存放在wordlists、seclists两个目录之中。除密码字典之外，以上目录中还包含大量漏洞挖掘和Fuzz用途的字典文件。 hashid / hash-identifier

单向加密算法是将可变长度输入数据，加密生成固定长度的密文输出值，即所谓的HASH值。此加密算法通常被认为是不可逆的。但我们可以提前计算常见数据的HASH值，并利用其进行反查匹对应的明文，实现HASH**。由于HASH算法种类众多，因此需要hashid、hash-identifier来提前判断生成密文的HASH算法，以便查询对应明文。 findmyhash

单向加密算法是将可变长度数据，加密生成固定长度的密文输出值，即所谓的HASH值。此加密算法通常被认为是不可逆的。但有众多网站会提前计算常见数据的HASH值，并利用其进行反查匹对应的明文，以此实现HASH值**。findmyhash可在线查询多个站点的HASH值数据库，批量完成HASH值匹配的**，其新版本查询效果更佳。

3、 fcrackzip

存有机密数据的文件，经常会被其所有者加密压缩保存。而作为数据安全审计者，则应对加密文件进行弱口令检查，以确保数据安全性。fcrackzip是一款快速的ZIP压缩文件密码**工具，其支持基于字典和**的两种工作模式，同时其内建了字符集和密码规则指定功能，免去了使用者提前准备和保存密码字典文件的繁琐。

4、cupp3 / cewl / fab-cewl

由于人性与生俱来的弱点，使得弱口令成为很多系统都存在的安全问题，即使是那些安全防护较好的站点也不例外。作为渗透测试者，如果能够获得目标系统的密码，则无需繁琐的漏洞挖掘，即可直接接管目标系统。密码**的关键在于字典的命中率，cupp3可依据个人信息生成专属字典，cewl则通过收集企业信息生成专属字典。使用这些有针对性的字典，使得密码**的成功率更高。

5、 pwdump / samdump2

出于安全性的考虑，windows系统并不会保存用户账号的明文密码，而是以加密的形式存储于本机的SAM数据库中。不过密码虽为密文保存，但如果密码过于简单，仍然存在被**的可能性。在可以物理接触电脑的情况下，我们可以利用pwdump、samdump2来读取SAM数据库文件中的密文密码，然后再使用其他工具进行密码**。

6、chntpw

我有一个同事曾经受到电脑勒索，攻击者修改了他的系统账号密码，并要求他支付赎金。众所周知，出于安全性的考虑，windows系统并不会保存用户账号的明文密码，而是以加密的形式存储于本机的SAM数据库中。因此我们可以通过chntpw工具本地读取并修改SAM数据库，将账号密码清空，从而避免受到坏人的勒索。

7、 hydra

密码**可以分为在线**和离线**两种。所谓在线**，就是使用不同的密码向目标服务器发起重复的身份验证请求，然后根据服务器的反馈信息判断登陆是否成功。hydra是开源世界在线密码**工具中的王者，它不但支持常见的所有协议类型，同时也支持不同形式的WEB表单认证**。它功能强大，使用灵活简洁。

8、 pw-inspector

由于人性与生俱来的弱点，弱口令成为很多系统都存在的安全问题，即使是很多安全防护较好的站点也不例外。密码**的关键在于字典的命中率，如果你知道密码的字符构成规则，可以使用pw-inspector对已有密码字典进行过滤筛选，以便提高密码**的效率。pw-inspector不能凭空生成字典，它只是对现有字典的过滤筛选工具。

9、medusa

密码**分为在线**和离线**两种。所谓在线**，就是使用不同的账号密码重复向目标服务器提交身份验证请求，然后根据服务器的反馈信息判断登陆是否成功。medusa是开源世界在线密码**工具中的又一王者（与hydra齐名），它支持常见的所有协议类型，同时超高的稳定性是其最大的优势，是密码**领域的必备工具。

10、cmospwd

计算机开机后运行的第一个程序是POST，即加电自检程序。其检测到的硬件参数和使用者的设置参数都存储于cmos内存芯片中，这些配置参数中也包括cmos密码。在你不小心忘记了密码而无法修改硬件参数时，我们可以使用debug命令或comspwd工具清空或找回密cmos密码，其中cmospwd工具兼容众多BIOS生产厂商的产品，同时对某些品牌机的BIOS还有自动解锁的功能，是一个优秀的跨平台解密工具。

11、 gpp-decrypt

从windows server 2008开始，微软为其活动目录域新增加了20多项组策略首选项（gpp）设置，其中包括通过GPO统一修改客户端账号密码的功能。出于安全的考略，微软使用了强**的AES算法来加密下发的密码，但乌龙事件使得微软在其开发者网站上直接公布了该**，因此使得安全目标完全破灭。gpp-decrypt既是一个基于泄漏**，对加密密码进行解密还原的工具。

12、dbpwaudit

dbpwaudit是一个由java语言编写的数据库在线密码**工具，它只支持MSSQL、MySQL、DB2、Oracle等四种数据库类型。直到授课前我才发现，最新版的Kali Linux中已经不再包含此工具，因此现在我们必须手动下载才能使用这款工具。在审计不同数据库时，我们还需要单独下载相应数据库的JDBC驱动，才能使其正常工作。

13、 crowbar

crowbar是一个在线的密码**工具，与同为密码**工具的hydra、medusa相比，crowbar支持的协议类型十分有限（只有四种），但却个性十足。crowbar支持的认证**方式可以很好的弥补hydra、medusa的不足，它支持Openv*n以及基于**方式身份认证的SSH、VNC服务，可作为其他强大密码**工具的重要补充。

14、brutespray

渗透测试初期，我们总是会通过nmap进行主机发现、端口发现、服务发现等几个步骤，来确认可进行密码**的服务类型，然后再放出hydra、medusa等工具来实施**。过程中如果相关端口数量众多的话，我们就不得不笨拙的一个一个进行输入。brutespray可以自动读取和解析nmap的扫描报告，并从中识别出可进行密码**的服务类型，让后再自动调用medusa实施**，这将大大提高我们的工作效率。

15、polenum

为了保护信息安全，企业网络通常会制定密码策略，强制要求员工设置足够安全的系统账号密码。但人永远都是安全中最薄弱的环节，由于人性中与生俱来怕麻烦和懒惰等特性，大家总是趋向于给自己设置简单的弱口令。作为企业中的安全和审计人员，有责任发现并纠正密码策略失效的情况，polenum是一个正向的安全检查工具，它能够帮助我们高效快捷的进行操作系统的密码策略审计。

16、rsmangler

与通过挖掘漏洞来进行渗透相比，通过密码**来渗透目标的技术门槛相对较低，而且一旦成功其渗透行为也更加隐秘，因此密码**成为了渗透过程中不可缺少的重要步骤。密码**的成功关键在于密码字典的命中率，基于大多数人构造密码的习惯（姓名-生日-爱好等），rsmangler可以基于有限的个人信息，变形生成数量巨大的针对性专属密码字典，从而大大提高密码**的成功率。

17、 cachedump / lsadump

creddump工具集中包含了三个关于windows系统密码的**工具。cachedump针对域账号在本地计算机中的缓存身分验证信息，它可以还原这些缓存的认证信息，并结合其他离线**工具进行密码**。运气好的话，你可能会得到域管理员的密码！！lsadump则可以直接还原那些由操作系统记住的密码，比如登陆网络驱动器的密码、v*n密码、拨号密码、系统自动登陆密码等，由于可以还原出明文密码，因此lsadump被视为安全从业人员的必备工具。

18、pack

如果你认为自己学会了几个密码**软件，就可以自称专业人士的话，那只能说明你还是个小白。众所周知，根据目前计算机的运算能力，实现全键盘空间字符的密码**是不可能的。但如果能准确的分析密码构成规则，则完全可以在可接受的时间范围内，完成半数以上的密码**。Pack全称是密码分析**工具包，他通过分析已有字典的密码构成规则，使我们可以在最短的时间里最大限度的完成**密码。这是你成为密码**专业人士的必备一课。

19、ophcrack

众所周知，windows系统会将用户帐号的密码，经过单向加密之后保存在用户帐号数据库中。但由于加密算法公开通用，因此明文密码加密之后的密永远不变，这直接导致了密码碰撞**思路的产生，即攻击者先计算出全部明文对应的密文，再通过比对密文来**明文。ophcrack是一个基于彩虹表的windows密码**工具，同时其官网提供了大量现成的彩虹表下载，从而大大提高了密码的**效率。

20、 rainbowcrack

虽然单向加密算法通常被认为是不可能被**的，但黑客却找到了碰撞**的思路。即先计算出全部明文对应的密文，然后再通过比对密文来倒推明文的方式。在碰撞**的过程中计算明文对应密文的过程最耗时，因此有人提出了彩虹表的概念，将明文加密后对应的密文结果保存下来，以便日后重复使用，即彩虹表。rainbowcrack内含一套彩虹表的生成、优化、**工具，并支持众多加密算法，更可利用GPU提高运算速度。

21、 ncrack

ncrack是由nmap项目共同维护的在线密码**工具，因此其命令格式和参数的用法都与nmap命令非常相似，这无疑会大大降低新用户的学习成本，同时其模块化的架构使其可以满足更多应用场景的需求。虽然其名气并不很大，但从密码**能力方面来看，ncrack毫不逊色于同类的hydra、medusa等著名在线密码**工具，而且在速度和稳定性方面还有更加优异的表现。

22、maskprocessor

众所周知，根据目前计算机的运算能力，要实现全键盘空间字符的密码**是不可能实现的。因此更多情况下，我们都会采用基于字典的密码**方式，而此时字典的命中率则成为密码**成败的关键。为了构成命中率更高、更有针对性的密码字典，maskprocessor给我们提供了众多的规则选择，是我们自定义密码字典的首选利器。

23、sucrack

通常渗透测试者在通过应用程序漏洞获得系统shell之后，会发现自己拥有的只是普通用户帐号的权限，因此需要进一步的提权操作，将自己提升为root权限。su是所有linux系统都支持的用户切换命令，而切换过程中需要提供目标帐号的密码，因此我们可以利用此功能，使用不同的密码重复向系统进行身份验证，以此来实现密码的暴力**，sucrack即是自动实现这一过程的首选工具。

24、thc-pptp-bruter

为防止内部系统暴露在公网之上，很多公司会采用v*n的解决方式，而微软的MSChapV2则是v*n最广泛被采用的身份验证方法。不幸的是，微软系统的早期版本在实现身份验证的过程中存在漏洞，微软虽然为此发布了补丁，但并未彻底修复该漏洞，使得所有采用该身份验证方式的v*n都会遭受到密码的暴力**攻击。thc-pptp-bruter即是利用此漏洞，专门针对PPTP v*n进行密码**的工具之一。

24、patator

虽然hydra、medusa、ncrack等工具都是优秀的在线密码**工具，但仍然无法满足所有场景的**需求，因此在厌倦了以上所有工具之后，作者开发了patator。这是一款高度定制化的密码**工具，使用者可以按照当前实际场景，灵活定义**成功与否的判断依据，但也同时使其学习成本明显高于其他工具。同时patator还包涵部分在线枚举和离线密码**功能，使其成为一个综合型的密码**工具。

25、 hashcat

如果上天只允许我选择一个离线密码**工具的话，那么我的选择一定是hashcat。hashcat不但开源免费，而且它还是世界上速度最快的离线密码**工具。它提供多系统、多算法、多硬件平台、分布式等几乎全特性的功能支持，同时还支持OpenCL、CUDA等编程标准。目前hashcat已经实现了所有版本的合并统一，使得初学者无需再迷茫的寻找适合自己的软件版本，现在hashcat会自动检测你的CPU和GPU，从而最大限度的发挥你的计算能力。

26、sipcrack

利用廉价共享带宽的IP网络承载实时语音通话的技术称为VoIP，SIP则是目前使用最广且接受度最高的VoIP信令协议。SIP是一种基于文本的信号控制协议，主要负责在客户端与服务期（PBX）间进行身份认证、会话建立和会话管理等工作。如果攻击者可以嗅探身份认证的通信过程，则可以利用sipcrack基于字典**其中的加密摘要信息。

27、oclGaussCrack

2009年震网病毒的出现，标志着***背景的武器化攻击程序已经走入现实。随后出现的火焰病毒再次证明，网络空间的战争其实每天都在我们身边悄悄的进行。2011年出现的高斯病毒使用了与震网、火焰病毒相同的基础代码、软件建构以及与CC服务器的通信方式，种种迹象表明它们全部出自同一开发队伍。由于采用了高级加密方式，最初高斯病毒的payload无法解密，直到ocalgausscrack工具的出现。

28、mimikatz

最近安全社区的一篇文章评出了黑客最经常使用的5个工具，其中就包括本课的mimikatz，此工具堪称windows系统凭据收集领域的瑞士军刀，即在统一框架下集成了众多身材小巧且功能强大的工具集合。凭据包括账号密码、HASH、证书、令牌、cookie等众多类型的信息，一旦获取将可能完全控制目标系统。但由于该工具涉及过多的背景知识，因此几乎没有人能发挥其全部功能（一般只用两条命令），本课我竭尽所能向大家展示这个神一样的存在。

29、 PtH / WCE / xfreerdp

密码**是个耗时耗资源的事情，如果可以不必忍受这个煎熬的过程，相信每个渗透测试者都会兴奋不已。在密码**领域有一种称为Pass the Hash的攻击思路，即在已经获得密码密文的情况下，并不进行**，而是直接提交密文从而实现身份认证。其最典型的应用场景就是攻击Windows操作系统，windows早期版本的密码加密过程不加盐，因此很容易遭受PtH攻击。本课为大家介绍的PtH工具包共包含10个具体工具，分别适合在不同需求环境下使用。

30、Statsprocessor / hcstatgen

依靠现代计算机的运算能力，并不足以在可接受的时间范围内完成全键盘字符空间的密码**任务，这正是现代密码学仍然可以提供安全性的前提，因此纯暴力的密码**是不现实的，同样也使得基于密码字典的**方式成为普遍的选择。如何减小字典的体积，同时提高命中率是所有**者的共同目标。本课我重点向大家介绍“马尔科夫链”在密码**领域的实际应用，同时利用本课的两个工具，我们可以轻松生成接近真实的密码字典。

31、 John / Johnny / unshadow

John the Ripper是你必须掌握的一个离线密码**工具，它可以自动识别并解密200多种加密算法和应用。其功能之丰富强大，已经达到了令人震惊的程度，为了降低使用者的难度，John通过配置文件保存大部分常用参数，因此使用者并不会觉得太过复杂。它支持4种**模式，可以满足所有用户和场景的需要，强大的掩码和规则更可对现有密码字典进行丰富的变形，最大程度提高密码**成功率。Johnny是图形化界面的John。