目录
前言
一、弱口令
二、默认口令
前言
密码口令里有两题,弱口令和默认口令。
一、弱口令
题目:
什么是弱口令?
弱口令是网络安全十大安全漏洞之一,所谓的口令其实就是我们的密码,而弱口令就是相对来说比较容易被破解的密码,它会对信息安全造成严重的安全隐患。
弱口令我们可以简单的理解为能让别人随意就猜到的密码,比如abc、111、123、123456、88888888等等诸如此类的密码。
除此之外大家都能知道的密码称之为弱口令。还有以下的几点也如果不达到要求也可以称之为弱口令:
①空口令,没有设置密码
②口令小于8个字符且较为简单
③口令为连续的字母或者单纯数字
④口令为本人相关的名字字母,生日,易被发现的邮箱号,账号名昵称名,都可以称为弱口令,可以定义为针对你的弱口令,而不是普遍的弱口令。
弱口令一旦被破解将面临很严重的资产风险,在网络安全方面,我们的云主机,服务器一旦暴露了我们的登录密码则会导致我们的主机被入侵,导致我们网站,app,主机载体的内容受到损坏,可能导致不可逆的破坏和严重的经济损失。
同时不仅仅是主机、服务器,弱口令还涉及到我们日常的各类登录密码邮箱,微信、qq、web注册页面等等都是我们需要留意的,账号价值高的账户一定要设置安全复杂口令。
复杂口令建议:8字符以上且包含英文大小写+数字+符号的组合,同时一旦有暴露口令的风险一定要及时更换口令。
点开题目
我们随便输入一个账号和密码进行登陆,并用bp抓包(这里账号是admin,密码是123456)
进行爆破,右键后点击send to intruder,然后将密码选中为爆破对象(在首尾单击add$),
再点击payloads,之后导入弱口令词典(就是常用密码,没有就用记事本当场写一个,存在桌面就行),在payload options那一栏点击load然后选择文件,最后点击attack进行爆破。
结果2653那行,密码显示为admin888,登陆得到flag
二、默认口令
打开题目
因为这里存在验证码,因此无法爆破,只能另辟蹊径,在网上查了半天,找到了一些亿邮邮件网关的默认口令,但七零八碎的,最后找到了一个综合的默认口令集,链接放在这里
找到这个的默认口令
剩下的就是一个一个试,拿到flag
