弱口令到底是什么牛马?
发布时间:2023-06-07 14:35:46 作者:互联网收集 浏览量:467
很多系统管理员会选择容易记住的口令或在系统测试时用的弱口令没有删除,并且在一些系统,在注册时,会提示一些规则,比如密码的长度、必须是大小写字母数字组合等,这就给爆破系统提供了机会。一旦暴力破解了账号和口令,就可以登陆管理系统和终端,将会带来很大的危害。
想要爆破系统,我们要先找到网站后台登录入口。我们可以通过以下方法查找:
常用后台管理字典(一位大佬的分享),用过之后觉得还是很精确的:
很多人为了记住密码,经常把自己的生日、手机号、姓名简拼、姓名全拼、英文名、用户名、手机号、QQ号、男女朋友的姓名等组合成密码。我们可以收集这些信息,然后生成字典,进行爆破。
下面两个在线网站可以帮我们生成字典:
对于收集公司的信息,我们可以到这些网站查询:
对于企业的信息,我们尽量收集到企业的英文名、企业中文名拼音、企业域名、简写/缩写、企业的各种品牌名、注册日期、注册地等,然后利用这些信息生成字典。
贵在平时,我们平时要经常收集使用频率高的字典,像phpmyadmin、tomcat等常见后台常用密码,对于各种安全设备的默认密码
设备
默认账号
默认密码
深信服产品
sangfor
sangfor sangfor@2018 sangfor@2019
深信服科技 AD
dlanrecover
深信服负载均衡 AD 3.6
admin
admin
深信服WAC ( WNS V2.6)
admin
admin
深信服VPN
Admin
Admin
深信服ipsec-VPN (SSL 5.5)
Admin
Admin
深信服AC6.0
admin
admin
SANGFOR防火墙
admin
sangfor
深信服AF(NGAF V2.2)
admin
sangfor
深信服NGAF下一代应用防火墙(NGAF V4.3)
admin
admin
深信服AD3.9
admin
admin
深信服上网行为管理设备数据中心
Admin
密码为空
SANGFOR_AD_v5.1
admin
admin
网御漏洞扫描系统
leadsec
leadsec
天阗入侵检测与管理系统 V7.0
Admin
venus70
Audit
venus70
adm
venus70
天阗入侵检测与管理系统 V6.0
Admin
venus60
Audit
venus60
adm
venus60
网御WAF集中控制中心(V3.0R5.0)
admin
leadsec.waf
audit
leadsec.waf
adm
leadsec.waf
联想网御
administrator
administrator
网御事件服务器
admin
admin123
联想网御防火墙PowerV
administrator
administrator
联想网御入侵检测系统
lenovo
default
网络卫士入侵检测系统
admin
talent
网御入侵检测系统V3.2.72.0
adm
leadsec32
admin
leadsec32
联想网御入侵检测系统IDS
root
111111
admin
admin123
科来网络回溯分析系统
csadmin
colasoft
中控考勤机web3.0
administrator
123456
H3C iMC
admin
admin
H3C SecPath系列
admin
admin
H3C S5120-SI
test
123
H3C智能管理中心
admin
admin
H3C ER3100
admin
adminer3100
H3C ER3200
admin
adminer3200
H3C ER3260
admin
adminer3260
H3C
admin
adminer
admin
admin
admin
h3capadmin
h3c
h3c
360天擎
admin
admin
网神防火墙
firewall
firewall
天融信防火墙NGFW4000
superman
talent
黑盾防火墙
admin
admin
rule
abc123
audit
abc123
华为防火墙
telnetuser
telnetpwd
ftpuser
ftppwd
方正防火墙
admin
admin
飞塔防火墙
admin
密码为空
Juniper_SSG__5防火墙
netscreen
netscreen
中新金盾硬件防火墙
admin
123
kill防火墙(冠群金辰)
admin
sys123
天清汉马USG防火墙
admin
venus.fw
Audit
venus.audit
useradmin
venus.user
阿姆瑞特防火墙
admin
manager
山石网科
hillstone
hillstone
绿盟安全审计系统
weboper
weboper
webaudit
webaudit
conadmin
conadmin
admin
admin
shell
shell
绿盟产品
nsfocus123
TopAudit日志审计系统
superman
talent
LogBase日志管理综合审计系统
admin
safetybase
网神SecFox运维安全管理与审计系统
admin
!1fw@2soc#3vpn
天融信数据库审计系统
superman
telent
Hillstone安全审计平台
hillstone
hillstone
网康日志中心
ns25000
ns25000
网络安全审计系统(中科新业)
admin
123456
天玥网络安全审计系统
Admin
cyberaudit
明御WEB应用防火墙
admin
admin
admin
adminadmin
明御攻防实验室平台
root
123456
明御安全网关
admin
adminadmin
明御运维审计与册风险控制系统
admin
1q2w3e
system
1q2w3e4r
auditor
1q2w3e4r
operator
1q2w3e4r
明御网站卫士
sysmanager
sysmanager888
亿邮邮件网关
eyouuser
eyou_admin
eyougw
admin@(eyou)
admin
±ccccc
admin
cyouadmin
Websense邮件安全网关
administrator
admin
梭子鱼邮件存储网关
admin
admin
当我们没有收集到有用的信息,这些平时收集到的字典就有很大的作用了。
如果平时没有总结,渗透测试时建议百度吧!百度是个很强大的工具!
常用爆破工具:
以上是我常用的,当然爆破工具还有很多,平时我们要自己收集,一些不错的脚本我们也可以收集,用得顺手就行
弱口令带来的危害很大,我们现在进入系统,很大部分来源于弱口令,我们要注意。对于防范措施,网上百度一大堆,我就不放在上面写了,希望这篇文章对你有帮助。
收藏