渗透测试之千奇百怪的弱密码

0x01 前言

弱密码在我很久之前的印象里没什么；弱密码简单说，就是用户设置的密码有规律、常见、可被猜解，又不是程序代码问题，不是大洞，但它却是神洞；因为你会发现你能用它，进入各种后台之后进行get shell等各种骚操作

0x02 什么是弱密码

弱密码（Weak passwords）即容易破译的密码，多为简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名，例如“123456”、“abc123”、“Michael”等。终端设备出厂配置的通用密码等都属于弱密码范畴

0x03 弱密码分类

• 规律单一数字型

123456、12345678、1234

• 规律单一字母型

password、admin、monkey

• 规律数字+字母

abc123、qwer12345、qwe12345

• 键盘字符顺序

qweasdzxc、!@#$%^&*

• 中国汉字、汉字谐音衍生

我爱你一生一世：woaini1314

气死你气死你：741741

• 已泄露旧密码

个人认为如果你的账号曾经被盗、或者数据泄露过、旧密码顺序即使很复杂也算弱密码

• 英文单词、英文语句

iloveyou123、iloveyou

• 各种设备、软件、网站初始化密码

root、admin、huachen1258zz、1008

• 区域性密码

比如：美国和中国人的密码习惯也是不一样的

比如：ji32k7au4a83在台湾那面是“我的密码”的意思，就是弱密码

• 万能密码

or 1=1 、and 1=1

0x04 2018弱密码top10

123456
password
123456789
12345678
12345
111111
1234567
sunshine
qwerty
iloveyou

0x05 我遇到的弱密码事件

1.常见密码top1000爆破

2.使用艺人拼音、缩写组合而成的密码

如：caixukun123、cxk123456

3.使用网站、或者设备的初始化密码

如：路由等设备使用初始密码这种情况，很常见

4.使用网站注册时，填写的密码框旁边的“示例密码”作为密码

这种遇到过两次，管理员admin密码就是示例密码

5.网站域名+数字

如：网站为“https://uytcht.com/" 管理员密码就可能为uytcht.com、uytcht.com123之类

6.公司品牌密码特性

如：之前测水果公司密码都是：fruit8888、apple123456之类的

7.根据社工或者收集来的个人信息，制作字典进行测试

这种我做出的字典都没成功过，，，

0x06 弱密码危害

能查看各种用户信息，能get shell

0x07 弱口令检测工具

burpsuite —我测什么都用它

超级弱口令检查工具 —rdp、ssh、各种数据库的弱密码用它

htpwdScan—撞库，我没用过，我没库

john—有的时候我用它检查linux系统是否弱密码

hydra—我喜欢和nmap一起结合使用

python—自己写个脚本…

上面是我经常用的，github上还有很多大佬写的工具，，，

0x08 弱口令修复方法

1.用户首次登录时修改默认口令

2.密码策略为11位（包括）以上字符，包含数字、大小写字母、特殊字符中的至少3种

3.对管理后台进行访问控制，加强密码强度并定期修改

4.增加验证机制，防爆破机制【图片验证码，短信验证】，限制ip访问次数