John the Ripper是一款弱口令檢測工具,或是口令爆破工具。
弱口令由r於其簡單性,容易被惡意猜測得到用戶的口令,造成經濟損失。這款工具能幫助我們檢測到弱口令,提前做好防護措施。
此工具在kali linux中自帶。
今天的實驗環境是rhel6.5(Red Hat Enterprise Linux 6.5) ,rhel中沒有集成此款工具需要我們自己去下載安裝,今天我們來演示一下整個過程:
一、下載此工具到opt目錄下
/opt目錄通常是用來存放各種應用軟件。
二、解壓John the Ripper
tar xvzf john-1.8.0.tar.gz
三、切換進入到src目錄下
cd john-1.8.0/src
四、安裝John the Ripper
make clean linux-x86-64
五、查看默認的密碼字典文件
-
cd ../run #跳轉到run目錄下
-
more password.lst
我們可以查看該工具中包含的弱口令的數目:
該工具自帶有3546個弱口令,足以檢測生活中常用的弱口令了。
用戶也可以用自己定義的弱口令字典:--worllist=/root/password.txt(用法后面說)
六、復制系統賬戶的口令文件
cd /etc/shadow /root/shadow.txt注意不要對shadow文件進行直接操作。
/root/shadow.txt #復制的Linux系統的賬戶密碼文件
七、進行弱口令掃描
./john /root/shadow.txt --wordlist=/root/password.txt(指定的弱口令字典)
從結果來看,弱口令已經被檢測出來了。弱口令檢測的成功與否取決於口令字典是否強大。
再次也提醒大家,口令盡量設置的復雜一些,謹防被他人惡意破解。