当前位置:首页 > 黑客技术 > 正文内容

拆分暗码-WEB浸透

访客4年前 (2021-04-15)黑客技术708

在WEB浸透中或许运用某个关键字为暗码中心的暗码(Mail,Vpn,后台登陆等)
0x01 实践数据剖析
Gmail 500W明文暗码
个人以往浸透实例
美国姓名top2000
在以往的浸透过中发现绝大大都企业的web服务是不允许注册,都是由某个人或体系分配的,而在这之中又有大部分的分配是人为分配,这就引出了我今日研讨的主题《拆分暗码》。
人们在分配暗码的时分是无法做到计算机那样随机的。大都都是依据某个关键字加上一些字符如企业名,时刻,123等,这样的分配方法就给暗码赋予了结构
0x02 暗码结构
前缀
关键字
连接符
后缀

1.)关键字
以drops.wooyun.org为比如
URL (二级域名,跟域名)
keyword=[drop,wooyun,wooyun.org]
域名注册信息 (邮件,姓名,时刻)
keyword=[xssshell,fangxiaodun,20100506]
网站内容 (标题,关键字,页脚)
keyword=[WooYun,zhishiku,Security,exploits,hacker,0day,pentest]
常用暗码关键字
keyword=[admin,manage,pass,姓名top500]
搜集网页内容关键字小脚本,对中文站没什么作用.这儿以www.megacorpone.com为比如,我也是看了这个站点的浸透测试报告才触发我写这篇文章
root@Md:wget www.megacorpone.com -O 1.html
root@Md:cat 1.html|tr ' ' 'n'|grep '^[0-9a-Z]*[0-9a-Z]$'|sort|uniq|

当然也有现成东西 cewl

2.)前缀与后缀
在Gmail 500W明文暗码中,我用邮件名作为关键字进行剖析:
500W暗码中有11561条暗码是用用户名做关键字且排除了用户名为暗码和用户名重复为暗码。
11561条暗码中有791条是前缀加关键字的形式

11561条暗码中有2308条是前缀加关键字加链接符加后缀的形式

11561条暗码中有8462条是关键字加后缀的形式

从上面的数据能够剖分出,前缀加关键字加链接符加后缀的形式最少,值得咱们留意的的是oliver+关键字+@+gmail.com这个形式,很经典。前缀和后缀中运用最多的1和123,前缀中值得留意的是iam,big,the,大大都前缀都运用的名词或许短语,后缀值得留意的是@gmail.com,在以往暗码猜解中许多企业邮箱的默许暗码便是姓名拼音加上链接符@加上域名作为后缀
那么问题就来了,为什么是它们?
在我的研讨中,我将前缀和后缀分为4个类型:
接连性 字符接连的递加
重复性 字符重复
规矩性 运用字符表现某种规矩
键盘规矩
涵义规矩
敷衍性 满意体系强制要求
单个字符前缀悉数看做是 敷衍性,而没有意义的东西人们往往很难回忆,所以在敷衍性的情况下会挑选规矩性协助回忆。10个数字26字母32个符号总共68个字符
1234567890
qwertyuiopasdfghjklzxcvbnm
键盘的规划是依据人体工程学规划的,最便利的键便是运用频率最高的键。玩过魔兽国际中pve无脑冰法的应该知道,【寒冰箭】根本都放数字1键,由于在扔掉字母键后,无名指按1键最便利,且接连按下123也最便利。所以在 敷衍性 下满意体系要求(暗码不为纯数字或纯字符)以字母做为关键字的暗码,奇数字前缀概率最大的为1
涵义规矩 1(最大),6(顺的涵义),8(发的涵义)
键盘规矩 ①中档键>右手>食指 J
涵义规矩 以姓名首字母为涵义 A

~!@#$%^&*()-_=+[{]}|;:'",/?
键盘规矩 在输出字符的时分需求按住Shift键
左手小指按Shift键 _
左手大拇指按Shift键 !
涵义规矩 @ 像a,邮件代表符号,易回忆
多个字符咱们用 接连性 重复性 规矩性剖析
接连性 接连性字符大于2位,小于等于6位
123,abc,!@#
重复性 重复性字符串大于1位小于等于3位
888,qq,..
规矩性
键盘规矩
qwe,147
涵义规矩
woshi,520,@))*,名词top100,短语top100
@))* == shift(2008)
3.)链接符
链接符不一定存在,弱存在只为一个单符号
@ 涵义规矩
_ 敷衍性
& 键盘规矩
前缀和后缀是有差异的,像woshi更应该做为前缀,qwe,888应该做为后缀,前缀能够为空,链接符能够为空,后缀能够为空

4.)组合方法
前缀+关键字
前缀多敷衍性和涵义性
前缀+关键字+链接符+后缀
关键字多为涵义性
关键字+后缀
ALL
关键字+链接符+后缀
后缀多为键盘规矩和接连性
0x02 总结
全部非随即暗码都是为了便利回忆,现在爆炸的中心不是弱暗码,而是运用有规矩暗码的弱用户。人是懒散的,为了便利回忆会将自己的回忆做为暗码回忆。
注①:《电脑键盘字母的优化摆放》 这篇文章仅仅是我写社工字典程序的理论结构,如果有与科学理论违反的当地,以科学理论为主
 

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/106004.html

分享给朋友:

“拆分暗码-WEB浸透” 的相关文章

接单的黑客_可以找黑客黑美团吗

有在网络安全范畴中,猜测网络违法和歹意软件发展趋势好像现已成为了各大网络安全公司的传统了。 为了防止让咱们去阅览上百页的安全陈述,咱们专门整兼并总结了McAfee、Forrester、FiskIQ、卡巴斯基实验室【1、2、3】、WatchGuard、Nuvias、FireEye、CyberArk、F...

黑客了解,中国黑客越南网络apt,黑客网站密码破解工具

6.42 · hxxp[://]offlineearthquake[.]com/file//?id=&n=000 进程三:使命履行及实时数据剖析10.61 2019年6月19日,FireEye Endpoint Security设备上收到了缝隙检测警报。 违规应用程序被辨认为Microso...

安宫牛黄丸现在价格 - 天地和堂安宫牛黄丸多少钱

一丸280元左右.装同仁堂安宫牛黄丸,那个年代的这个玩意,中医说法多少,体外培育牛黄。 两丸,字[2000]201号\制定安宫牛黄丸等药品价格的批复,到正规的同仁堂自己品牌的药店购买,价格不一样,希望懂得.天然牛黄天然麝香。北京同仁堂牛黄解毒丸的市场价格在2005年。 绿色木盒这三种包装的价格一样,...

如何查询酒店开房记录?谁可以查?网上怎么查?

关于酒店开房记录,这个基本上是看不到的,只有公检法系统(主要是公安局)才能查询的。如果你真想查询,要提供相关真实的身份证明,到公安局咨询,可能需要繁琐的手续。 2014年初,网上就有过“2000W开房数据泄露”的惊爆新闻,是因众多酒店使用了浙江慧达驿站公司开发的酒店Wi-Fi管理、认证系统,而该公司...

生猪猪价近10年走势图 「全国生猪价格猪e网」

从供给来看,同比年下降8点全国2。2012年4,希望能对你有所帮助。而且又赶上猪肉价格进入下行通道,上涨的原因分析一是生猪存栏减少,今日全国生猪均价继续维持震荡,现在正逢季节性淡季,量双增长市场供给量有后援保障。比2月25价格日。 散养户积极补栏使得苗猪价格迅速上升,1、我就是专业研究这个的,最新全...

黑客接单查询个人信息怎么办_微信支付密码忘记了找黑客

无 SelectCacheForSharedWorker select_cache_for_shared_worker = 5;黑客接单渠道无一些被以为陈腐而陈旧的文档特性可以被完成并用于进犯,360要挟情报中心鄙人半年就针对运用Excel 4.0宏传达商业远控木马的在野进犯样本进行了剖析。 黑客接...

评论列表

南殷九龄
3年前 (2022-07-03)

ig,the,大大都前缀都运用的名词或许短语,后缀值得留意的是@gmail.com,在以往暗码猜解中许多企业邮箱的默许暗码便是姓名拼音加上链接符@加上域名作为后缀那么问题就来了

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。