思维导图

前置知识

案例一：Zblog-密文 MD5 传输加密猜解

案例二：服务类-SSH&RDP 远程终端猜解

案例三：应用类-ZIP&Word 文件压缩包猜解

案例四：github上收集的常见服务器设备，协议，以及常见平台默认密码

产生原因：

安全意识：自己设置的xiaojie123弱密码

初始化：初始密码为123456，未进行修改

出现领域： web应用，安全设备，平台组件，操作系统

信息泄露查询网站：(都是国外的，国内禁止搭建社工库（违法！）)

https://monitor.mozilla.org/user            https://haveibeenpwned.com/

可以查看自己是否有过信息泄露，不过只能测试比较大的网站，甚至大多数都在国外的数据

社工字典生成网站：密码字典生成器|在线密码字典生成

按照指示填入个人信息，生成

直接会生成社工密码字典

登录后台，登录的时候抓包

这里密码用的是md5加密

发送到intruder，添加变量

这里字典是自己写的一个简单的字典需要可以从网上下载

这里是md5加密，需要自己设置

爆破出来了

密码进行解密

Linux最高用户为root，利用ssh可建立连接

Windows最高用户为administrator，可以利用rpd建立连接

利用工具hydra，常用参数

破解ssh 账号为root 密码为123.com的账户

尝试建立连接

爆破windows，rdp密码

远程连接，redesktop ip -u username

爆破zip

自建一个压缩包，设置一个密码

自己先写一个简单的密码字典

利用工具archpr

爆破

爆破word文件

一个爆破各种后缀的外国网站：（收费）【官方】PassFab-专注于Windows，Mac，iOS，Android问题解決方案

创建一个加密文件

这里用的是破解版去破解密码

爆破出来的结果

git网站：

常见设备与协议：https://github.com/danielmiessler/SecLists

常见平台：https://github.com/hetianlab/DefaultCreds-cheat-sheet

第一个网站下载，里面是常见设备以及协议的初始账号密码或使用频率最高的密码

利用这一条

用fofa搜索一条

尝试利用admin，admin进行登录，成功登录