红蓝对抗web漏洞利用之弱口令
字数 2691 2025-08-15 21:30:45

弱口令漏洞利用与防御全面指南

一、弱口令定义与危害

1.1 弱口令定义

弱口令(weak password)指容易被猜测或破解的简单密码组合,通常具有以下特征:

  • 仅包含简单数字和字母(如"123"、"abc")
  • 使用系统默认密码
  • 包含个人信息(生日、手机号等)
  • 长度过短(通常少于8位)

1.2 主要危害

  • 撞库攻击:攻击者利用已泄露的密码尝试登录其他平台(如12306数据泄露事件)
  • 直接系统入侵:通过弱口令获取系统控制权限
  • 数据泄露:访问敏感信息、上传webshell、获取系统shell
  • 横向渗透:多数人使用相同密码,导致多个账户同时沦陷

二、弱口令字典生成技术

2.1 个人信息收集

  • 基础信息:生日、身份证号、手机号、用户名
  • 扩展信息:车牌号、网站名称、地址(可转换为拼音)
  • 公司信息:通过以下平台收集:
    • 全国社会组织查询 (http://www.chinanpo.gov.cn/search/orgindex.html)
    • 天眼查 (https://www.tianyancha.com/)
    • ICP备案管理系统 (http://www.beian.miit.gov.cn)

2.2 字典生成模式

现代弱口令常包含特殊字符(@、*、&、.),常见组合模式:

  • 信息项 + 符号项 + 弱字符串项
    • 示例:admin@huawei2023
    • 信息项:Admin、Huawei等目标相关信息
    • 符号项:@、_、-等连接符号
    • 弱字符项:123、abc、2023等常见弱密码

2.3 工具推荐

  • 白鹿社工字典生成器:https://github.com/HongLuDianXue/BaiLu-SED-Tool
    • 支持多元素组合生成
    • 提供结果去重功能
    • 可自定义信息项、符号项和弱字符项

三、弱口令爆破实战方法

3.1 Burp Suite爆破

  1. 代理模式抓取登录请求
  2. 右键选择"Send to Intruder"
  3. 设置密码变量(已知用户名时可固定)
  4. Payloads选项卡加载密码字典
  5. 根据返回包长度差异识别有效密码

3.2 专用爆破工具

3.2.1 超级弱口令检查工具

  • 项目地址:https://github.com/shack2/SNETCracker
  • 特点:
    • 支持多服务批量检查(FTP/SSH/MySQL等)
    • 支持IP段扫描(192.168.1.1-192.168.1.254)
    • 用户名密码组合爆破
    • 自定义服务端口

3.2.2 web_pwd_common_crack

  • 项目地址:https://github.com/TideSec/web_pwd_common_crack
  • 使用步骤: 
    git clone https://github.com/TideSec/web_pwd_common_crack
pip install -r requirements.txt
python web_pwd_crack.py url.txt 50
  • 特点:
    • 专为无验证码后台设计
    • 支持多线程(默认50线程)
    • 需自行收集目标URL列表

3.3 常见系统默认凭证

3.3.1 后台管理系统

系统类型 常见用户名 常见密码
phpMyAdmin root root, root123, 123456
Tomcat admin, manager admin, tomcat, manager, 123456
JBoss admin, jboss jboss, admin123, 123456
WebLogic weblogic, admin weblogic, admin, 123456

3.3.2 安全设备弱口令

设备类型 登录地址 用户名 密码
天融信防火墙 https://192.168.1.254 superman talent
深信服防火墙 https://10.251.251.251 admin admin
Juniper防火墙 https://192.168.1.1 netscreen netscreen
Cisco设备 https://192.168.0.1 admin cisco
华为设备 http://192.168.0.1 admin Admin@123
H3C设备 http://192.168.0.1 admin admin
绿盟IPS https://192.168.1.101 weboper weboper

3.4 网络设备发现方法

3.4.1 Shodan搜索引擎

  • 官网:https://www.shodan.io/
  • 搜索语法示例:
    • 海康威视摄像头:Hikvision-Webs country:"CN" city:"Nanjing"
    • 特定IP段设备:net:192.168.1.0/24

3.4.2 钟馗之眼(zoomeye)

  • 官网:https://www.zoomeye.org/
  • 搜索示例:
    • WebLogic服务器:app:"Oracle WebLogic Server"
    • 特定端口服务:port:8080

四、防御加固方案

4.1 密码策略

  1. 复杂度要求

    • 至少8位长度
    • 包含大写字母、小写字母、数字和特殊字符
    • 避免连续或重复字符(如AAAAA、123123)

  2. 内容限制

    • 禁止包含个人信息(姓名、生日等)
    • 避免使用字典单词及简单变形

  3. 生命周期管理

    • 强制定期更换(建议90天)
    • 密码历史记录(禁止重复使用)

4.2 防暴力破解措施

  1. 验证机制

    • 错误次数超过阈值后启用验证码
    • 关键操作增加二次验证(短信/邮件)

  2. 访问控制

    • 限制单IP请求频率
    • 异常登录行为检测(地理位移、设备变更)

  3. 系统加固

    • 修改所有默认凭证
    • 敏感后台限制访问IP
    • 启用登录延迟(减缓爆破速度)

4.3 安全监控

  1. 实时监控异常登录尝试
  2. 定期审计账户登录日志
  3. 建立应急响应流程(发现爆破立即封锁)

五、扩展资源

  1. 安全科普:浅谈弱口令的危害 - FreeBuf https://www.freebuf.com/news/topnews/101469.html
  2. 弱口令分析爆破工具使用 - 知乎 https://zhuanlan.zhihu.com/p/25141158
  3. Tide安全团队官网:http://www.TideSec.com

注:本文所述技术仅限合法授权测试使用,未经授权对他人系统进行测试属于违法行为。

弱口令漏洞利用与防御全面指南 一、弱口令定义与危害 1.1 弱口令定义 弱口令(weak password)指容易被猜测或破解的简单密码组合,通常具有以下特征: 仅包含简单数字和字母(如"123"、"abc") 使用系统默认密码 包含个人信息(生日、手机号等) 长度过短(通常少于8位) 1.2 主要危害 撞库攻击 :攻击者利用已泄露的密码尝试登录其他平台(如12306数据泄露事件) 直接系统入侵 :通过弱口令获取系统控制权限 数据泄露 :访问敏感信息、上传webshell、获取系统shell 横向渗透 :多数人使用相同密码,导致多个账户同时沦陷 二、弱口令字典生成技术 2.1 个人信息收集 基础信息:生日、身份证号、手机号、用户名 扩展信息:车牌号、网站名称、地址(可转换为拼音) 公司信息:通过以下平台收集: 全国社会组织查询 (http://www.chinanpo.gov.cn/search/orgindex.html) 天眼查 (https://www.tianyancha.com/) ICP备案管理系统 (http://www.beian.miit.gov.cn) 2.2 字典生成模式 现代弱口令常包含特殊字符(@、* 、&、.),常见组合模式: 信息项 + 符号项 + 弱字符串项 示例:admin@huawei2023 信息项:Admin、Huawei等目标相关信息 符号项:@、_ 、-等连接符号 弱字符项:123、abc、2023等常见弱密码 2.3 工具推荐 白鹿社工字典生成器 :https://github.com/HongLuDianXue/BaiLu-SED-Tool 支持多元素组合生成 提供结果去重功能 可自定义信息项、符号项和弱字符项 三、弱口令爆破实战方法 3.1 Burp Suite爆破 代理模式抓取登录请求 右键选择"Send to Intruder" 设置密码变量(已知用户名时可固定) Payloads选项卡加载密码字典 根据返回包长度差异识别有效密码 3.2 专用爆破工具 3.2.1 超级弱口令检查工具 项目地址:https://github.com/shack2/SNETCracker 特点: 支持多服务批量检查(FTP/SSH/MySQL等) 支持IP段扫描(192.168.1.1-192.168.1.254) 用户名密码组合爆破 自定义服务端口 3.2.2 web_ pwd_ common_ crack 项目地址:https://github.com/TideSec/web_ pwd_ common_ crack 使用步骤: 特点: 专为无验证码后台设计 支持多线程(默认50线程) 需自行收集目标URL列表 3.3 常见系统默认凭证 3.3.1 后台管理系统 | 系统类型 | 常见用户名 | 常见密码 | |---------|-----------|---------| | phpMyAdmin | root | root, root123, 123456 | | Tomcat | admin, manager | admin, tomcat, manager, 123456 | | JBoss | admin, jboss | jboss, admin123, 123456 | | WebLogic | weblogic, admin | weblogic, admin, 123456 | 3.3.2 安全设备弱口令 | 设备类型 | 登录地址 | 用户名 | 密码 | |---------|---------|-------|-----| | 天融信防火墙 | https://192.168.1.254 | superman | talent | | 深信服防火墙 | https://10.251.251.251 | admin | admin | | Juniper防火墙 | https://192.168.1.1 | netscreen | netscreen | | Cisco设备 | https://192.168.0.1 | admin | cisco | | 华为设备 | http://192.168.0.1 | admin | Admin@123 | | H3C设备 | http://192.168.0.1 | admin | admin | | 绿盟IPS | https://192.168.1.101 | weboper | weboper | 3.4 网络设备发现方法 3.4.1 Shodan搜索引擎 官网:https://www.shodan.io/ 搜索语法示例: 海康威视摄像头: Hikvision-Webs country:"CN" city:"Nanjing" 特定IP段设备: net:192.168.1.0/24 3.4.2 钟馗之眼(zoomeye) 官网:https://www.zoomeye.org/ 搜索示例: WebLogic服务器: app:"Oracle WebLogic Server" 特定端口服务: port:8080 四、防御加固方案 4.1 密码策略 复杂度要求 : 至少8位长度 包含大写字母、小写字母、数字和特殊字符 避免连续或重复字符(如AAAAA、123123) 内容限制 : 禁止包含个人信息(姓名、生日等) 避免使用字典单词及简单变形 生命周期管理 : 强制定期更换(建议90天) 密码历史记录(禁止重复使用) 4.2 防暴力破解措施 验证机制 : 错误次数超过阈值后启用验证码 关键操作增加二次验证(短信/邮件) 访问控制 : 限制单IP请求频率 异常登录行为检测(地理位移、设备变更) 系统加固 : 修改所有默认凭证 敏感后台限制访问IP 启用登录延迟(减缓爆破速度) 4.3 安全监控 实时监控异常登录尝试 定期审计账户登录日志 建立应急响应流程(发现爆破立即封锁) 五、扩展资源 安全科普:浅谈弱口令的危害 - FreeBuf https://www.freebuf.com/news/topnews/101469.html 弱口令分析爆破工具使用 - 知乎 https://zhuanlan.zhihu.com/p/25141158 Tide安全团队官网:http://www.TideSec.com 注:本文所述技术仅限合法授权测试使用,未经授权对他人系统进行测试属于违法行为。