弱口令扫描操作
弱口令扫描操作手册
一、弱口令简介
弱口令目前没有严格和准确的定义,通常认为容易被别人猜测或被破解工具破解的口令即为弱口令。对弱口令的定义为,不满足以下五项条件之一即为弱口令:
1、口令长度应至少8位;
2、口令应包括数字、小写字母、大写字母、特殊符号4类中至少3类;
3、口令应与用户名无相关性,口令中不得包含用户名的完整字符串、大小写变位或形似变换的字符串;
4、应更换系统或设备的出厂默认口令;
5、口令设置应避免键盘排序密码;
二、弱口令类型
目前常见的弱口令类型有TELNET、SSH、SNMP、FTP、MYSQL、MSSQL、ORACL、HTTP等。其中TELNET、SSH、FTP、MYSQL、MSSQL、ORACLE、HTTP等为TCP协议,都是通过用户名+密码的形式登录;SNMP为UDP协议,通过community字符串登录即可。
三、弱口令字典
弱口令检查一般都是通过自动化工具批量进行,主要的难点在于字典的构造。通常来说,字典越大,扫描的效果就越好,但是扫描花费的时间也会越长,所以我们需要根据自己的任务紧急程度选择不同大小的字典。
移动互联网行业,拥有很多网络设备,所以我们需要结合设备本身的特性来优化字典。比如某网络设备的默认用户名是useradmin,默认密码是admin!@#$%^,此时我们就应该检查自己的用户名字典和弱口令字典中是否包含以上字符串,如果没有就应该将其加入到字典中。
四、工具介绍
硬件扫描器:绿盟RSAS
绿盟远程安全评估系统(NSFOCUS Remote Security Assessment System 简称:NSFOCUS RSAS)是国内一款常见的漏洞扫描工具,它的“口令猜测任务”模块即可对各协议进行专门的弱口令扫描。
1、 [登录扫描器,选择“新建任务”
2、 选择“口令猜测任务”,并输入扫描目标(可以直接输入扫描地址,也可通过文件导入)
3、 选择需要扫描的协议类型,如FTP、SSH等,然后选择需要使用的字典。
4、根据任务需求选择配置其他选项(或者保持默认配置),最后选择确定即可。
在新建任务的过程中,如果我们选择“密码字典管理”选项,还可以新建一个自己的独特字典。
l 开源扫描器:hydra
hydra是一款开源的弱口令扫描神器,它可以在windows、linux、OSX等多个平台上运行,它支持几乎所有常见协议的弱口令扫描。
1、hydra语法
hydra[[[-l LOGIN|-L FILE] [-p PASS|-P FILE]] | [-C FILE]] [-e ns] [-o FILE] [-tTASKS] [-M FILE [-T TASKS]] [-w TIME] [-f] [-s PORT] [-S] [-vV] server service[OPT]
-R
继续从上一次进度接着破解
-S
大写,采用SSL链接
-s
小写,可通过这个参数指定非默认端口
-l
指定破解的用户,对特定用户破解
-L
指定用户名字典
-p
小写,指定密码破解,少用,一般是采用密码字典
-P
大写,指定密码字典
-e
可选选项,n:空密码试探,s:使用指定用户和密码试探
-C FILE
使用冒号分割格式,例如“登录名:密码”来代替-L/-P参数
-M FILE
指定目标列表文件一行一条
-o FILE
指定结果输出文件
-f
在使用-M参数以后,找到第一对登录名或者密码的时候中止破解
-t TASKS
同时运行的线程数,默认为16
-w TIME
设置最大超时的时间,单位秒,默认是30s
-v/ -V
显示详细过程
server
目标ip
service
指定服务名,支持的服务和协议:telnet ftp pop3[-ntlm] imap[-ntlm] smb smbnt http[s]-{head|get}http-{get|post}-form http-proxy ciscocisco-enable vnc ldap2 ldap3 mssql mysql oracle-listener postgres nntp socks5 rexec rlogin pcnfs snmprsh cvs svn icq sapr3 ssh2 smtp-auth[-ntlm] pcanywhere teamspeak sip vmauthd firebird ncp afp等等
OPT
可选项
[if !supportLists] 2、 [endif]使用范例
扫描SSH 弱口令
# hydra-L users.txt -P password.txt -t 1 -vV -e ns 192.168.1.104 ssh
-L 指定用户名字典(一行一个用户名字符串),-P指定密码字典(一行一个密码字符串),-t 指定线程数为1,-vV设置显示详细扫描过程,-e 设置使用空口令试探,最后是要扫描的IP地址和协议类型。
扫描SNMP 弱口令
#hydra-P snmppwd.txt -M ip.txt -o save.log snmp
-P 指定密码字典,-M指定目标IP文件(一行一个IP地址),-o指定结果输出文件,最后指定扫描协议SNMP。
专用扫描器:Tomcat弱口令扫描器
“Apache tomcat弱口令扫描器”是一款专用的tomcat弱口令扫描器,可以灵活的配置扫描IP、端口、用户名和字典等。
1、简单扫描整个网段
在“起始IP”中填入开始IP,在“终止IP”中填入结束IP,然后点击“添加”(可多次添加),最后点击“开始”即可。
2、高级设置:配置用户名和字典等
点击“设置”进入设置页面:
在设置页面可以导入自己的个性化“用户名”和“密码字典”,同时也可以通过文件导入要扫描的IP,配置好相关选项后,点击开始即可扫描。
专用扫描器:Burp Suite
Burp Suite是一款web渗透测试神器,可以测试SQL注入、XSS等各种漏洞,同时我们也可以使用它对WEB登录页面进行弱口令测试。
1、打开Burp Suite,配置监听端口,并在浏览器中设置代理为上述端口,如下图为8080。
2、使用浏览器打开需要测试的页面,并使用Burp Suite抓取登录请求。
3、选中请求,鼠标右键,选择“Send to Intruder”
4、在“Positions”标签下,选择需要暴力破解的字段
5、在“Payloads”标签下选择弱口令字典文件
6、点击开始攻击,通过比较应答的大小等方式获取破解成功的弱口令(此例中为password)。
RSAS的基本使用过程
链接:
1.扫描器接通电源和内网
扫描器连接电源,开机确认灯亮
扫描器Eth1接口(Eth2、3、4亦可)连接客户网络
2.扫描器接通自己电脑
M接口连接自己电脑(自己电脑用无线或不上网,扫描过程不需要网络)
3.配置自己电脑IP
网络和Internet -- 以太网 -- 更改配适器选项
IPV4配置(扫描器IP为1.1.1.1 自己电脑与扫描器处于同一网段即可,如1.1.1.2)
4.访问(提示不安全连接,添加授信)
5.登陆
6.连接用户IP地址(根据用户提供)
系统管理 -- 配置 -- 本机网口配置 -- eth1操作
IPV4地址根据客户提供;IPV4网关根据客户提供,若无则默认;其他属性默认即可
7.测试IP是否可达(此处IP为测试范围的ip)
正常情况,IP可达,可进行测试
请求超时,与客户沟通
8.开始扫描任务
主机扫描
新建任务 -- 评估任务 -- 扫描目标(客户给出,一次最多导入15条)-- 编辑任务名称(如:项目名称+日期)-- 点击确认,开始扫描
高级选项--主机存活设置--禁止启用
web扫描同理
9.报告输出
报告输出 -- 勾选对应报告 -- 报告类型全部勾选(指不定用户喜欢想要哪种)-- 报告模板选择“360漏洞扫描模板” -- 勾选“站点报表” -- 报表模板选择“360漏洞扫描模板” -- 输出即可
CTF流量分析之题型深度解析
0x01 介绍
在CTF比赛中,对于流量包的分析取证是一种十分重要的题型。通常这类题目都是会提供一个包含流量数据的pcap文件,参赛选手通过该文件筛选和过滤其中无关的流量信息,根据关键流量信息找出flag或者相关线索。
pcap流量包的分析通常都是通过图形化的网络嗅探器——wireshark进行的,这款嗅探器经过众多开发者的不断完善,现在已经成为使用最为广泛的安全工具之一。在之前的文章中,斗哥已经为大家介绍了 wireshark的基本使用 。接下来,斗哥将为大家介绍目前CTF流量分析中的经典题型和解题思路。
0x02 经典题型
CTF题型主要分为流量包修复、WEB流量包分析、USB流量包分析和其他流量包分析。
■ 流量包修复
比赛过程中有可能会出现通过wireshark打开题目给的流量包后提示包异常的情况,如下图所示:
解题思路:
通过在线pacp包修复工具进行修复:
练练手
第一届 “百度杯” 信息安全攻防总决赛 线上选拔赛:find the flag
pacp文件地址:
■ WEB流量包分析
WEB数据包分析的题目主要出现WEB攻击行为的分析上, 典型的WEB攻击行为有:WEB扫描、后台目录爆破、后台账号爆破、WEBSHELL上传、SQL注入等等。
题型:
通过给出的流量包获取攻击者使用的WEB扫描工具。
解题思路:
常见的WEB扫描器有Awvs,Netsparker,Appscan,Webinspect,Rsas(绿盟极光),Nessus,WebReaver,Sqlmap等。要识别攻击者使用的是哪一种扫描器,可通过wireshark筛选扫描器特征来得知。
相关命令:http contains “扫描器特征值”。
常见的扫描器特征参考:
练练手
安恒八月月赛流量分析:黑客使用的是什么扫描器?
pacp文件地址:
链接: 提取码:q6ro
题型:
已知攻击者通过目录爆破的手段获取了网站的后台地址,请通过给出的流量包获取后台地址。
解题思路:
要获取流量包中记录的后台地址,可通过wireshark筛选后台url特征来得知。
相关命令:http contains “后台url特征”。
常见后台url特征参考:
练练手
安恒八月月赛流量分析:黑客扫描到的后台登录地址是什么?
pacp文件地址:
链接: 提取码:q6ro
题型:
已知攻击者通过暴力破解的手段获取了网站的后台登陆账号,请通过给出的流量包获取正确的账号信息。
解题思路:
WEB账号登陆页面通常采用post方法请求,要获取流量包中记录的账号信息可通过wireshark筛选出POST请求和账号中的关键字如‘admin’。
相关命令:http.request.method=="POST" http contains == "关键字"。
练练手
安恒八月月赛流量分析:黑客使用了什么账号密码登录了web后台?
pacp文件地址:
链接: 提取码:q6ro
题型:
已知攻击者上传了恶意webshell文件,请通过给出的流量包还原出攻击者上传的webshll内容。
解题思路:
Webshell文件上传常采用post方法请求,文件内容常见关键字eval,system,assert要。获取流量包中记录的webshell可通过wireshark筛选出POST请求和关键字.
相关命令:http.request.method=="POST" http contains == "关键字"
练练手
安恒八月月赛流量分析:黑客上传的webshell文件名是?内容是什么?
pacp文件地址:
链接: 提取码:q6ro
■ USB流量包分析
USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。在CTF中,USB流量分析主要以键盘和鼠标流量为主。
■ 键盘流量
USB协议数据部分在Leftover Capture Data域中,数据长度为八个字节。其中键盘击键信息集中在第三个字节中。数据如下图所示:
如上图所示击键信息为0x05,对应的按键为“B“。
具体的键位映射关系可参考:《USB键盘协议中键码》中的HID Usage ID,链接:
题型:**
Flag藏于usb流量中,通过USB协议数据中的键盘键码转换成键位。
解题思路:
1.使用kali linux中的tshark 命令把cap data提取出来:tshark -r usb.pcap -T fields -e usb.capdata usbdata.txt,并去除空行。
练练手
安全评测人员在对某银行卡密码输入系统进行渗透测试,截获了一段通过USB键盘输入6位数字密码的流量,其中也包含了一些其他无关的USB设备的流量,你能从中恢复出6位数字密码吗?最终提交的flag格式为flag。
pacp文件地址:
链接:
提取码:q6ro
python键盘键码转换脚本:同上
■ 鼠标流量
USB协议鼠标数据部分在Leftover Capture Data域中,数据长度为四个字节。
其中第一个字节代表按键,当取0x00时,代表没有按键、为0x01时,代表按左键,为0x02时,代表当前按键为右键。第二个字节可以看成是一个signed byte类型,其最高位为符号位,当这个值为正时,代表鼠标水平右移多少像素,为负时,代表水平左移多少像素。第三个字节与第二字节类似,代表垂直上下移动的偏移。数据如下图所示:
如上图所示数据信息为0x00002000,表示鼠标垂直向上移动20。
题型 :
Flag藏于usb流量中,通过USB协议数据中的鼠标移动轨迹转换成Flag。
解题思路:
练练手
这是一道鼠标流量分析题。
pacp文件地址:
链接: 提取码:q6ro
python鼠标数据转换脚本:同上
■ 其他流量包分析
除了常规的WEB和USB流量外,可能还存在诸如SMTP,Telnet等流量,均与WEB流量分析类似,不再赘述。
0x03 总结
以上为斗哥了解的流量分析在CTF比赛中的基本题型,欢迎大家补充。
参考:
《记一道USB流量分析CTF题》,
CTF Wiki,
安恒信息审计设备默认账号密码
审计的部署非常简单,没有什么技术含量,就是有一些步骤,今天公司来了一批网络设备,正好有日志审计,于是鼓捣了一上午,在此记录一下操作,万一哪天用上了。
管理口默认是左上角网口,默认地址为:,默认是禁ping的
用户名:super
密码:super123456
部署须知(用谷歌浏览器)
新版本新增了对目标数据库服务器的非数据库流量会话审计功能,用户在审计对象配置界面的高级选项里便可配置;新增审计会话查询功能,支持根据时间、协议类型、服务器IP、服务端端口、客户端IP等条件进行查询;同时还具备了新增审计会话关联功能,帮助用户完全追踪数据库的所有可疑访问行为。
NO.4:新增自学习建模数据钻取
新版本新增了自动建模数据钻取以及新增对比数据钻取功能,让自学习及告警展示更为直观明显。
NO.5:新增报表自动生成自动邮件发送
新版本新增了报表自动生成及自动邮件发送功能,自动邮件发送支持按日、周、月自动生成自动发送,将极大的提高用户的阅读报表的便利,同时避免数据覆盖导致的报表过期无法生成的问题。
No.6:新增审计数据模糊查询功能
支持根据返回行数等条件的模糊查询,针对部分客户想检索特定字符的审计记录的问题,针对部分审计场景检索更方便。
No.7:新增告警数据分析功能
新版本新增了Web界面告警分析功能,便于管理员从客户端工具名、用户名、IP、规则四个角度分析告警行为,直观的告诉客户哪些维度告警分别有多少条,占比总告警数有多少,在告警数据查询页面根据特定条件查询。这样可以让告警数据更加直观的展示给用户,便于用户分析可疑行为。
No.8:新增保密资质专版
由于保密行业的特殊性,在新版本里针对保密行业要求三权分立,并且各自用户只能创建自有角色的用户,我们开发了保密资质专版,对现有权限模型进行了优化调整,完全满足保密、军工等行业的特殊需求,使用时从标准版本选择切换oem,切换到保密资质专用版即可。
No.9:新增协议解析编码配置
解决了部分目标数据库编码方式不确定,需要手工配置才能保证解析不乱码的情况,让协议解析更加准确可控。
No.10:新增双因子认证
新增了用户双因子认证,通过用户令牌和用户密码极大的增加账号盗用、冒用的难度,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全极大的提高了系统的安全性。
除了新增的十大功能,新版本还对原有功能进行了优化,使得产品的性能和质量更加稳定可靠。另据安恒信息安全专家透露,未来,安恒信息还将在虚拟化、云计算环境以及大数据平台等方向加大数据库审计产品的研发力度,为用户提供更加好用的数据库审计产品。
日志审计通常是旁路部署,只要是目标主机能够连接日志审计即可。日志审计并不是旁路部署,而是指向部署,并不用配置端口镜像。
为什么数据库审计就要使用端口镜像而不使用指向部署呢?
如果数据库使用指向部署,将其产生的日志放送到数据库审计的话,这个发送的工作实际上是由数据库进程完成的,我们在生产环境当中要求数据库的响应速度是快、快、快、而一旦让它产生日志并由数据库进程发送到审计设备的话,无疑会加重数据库进程的负担,所以我们通常使用端口镜像的方式来部署数据库审计。
安恒信息明御系列产品运维审计与风险控制系统2.0.2006升级版今日发布,本次改版从产品界面、使用操作方面都做了大幅调整,更加注重自动化和兼容性,重点从部署、资产管理、运维审计三个方面做了重大更新和改进。革新功能如下:
更加合理化和便捷化的部署方式是升级后的2.0.2006版本新增的一大亮点:首次使用部署向导,在初次使用设备时,通过批量导入授权关系,指引客户完成快速部署。用户只需要完整的按照模板导入用户、主机、账号及授权关系,即可一步完成设备的部署配置,极大提高了用户部署便利性,也缩小了设备上线的时间周期。
有运维审计的用户反映如何在运维资产前就可提前预知资产访问出现的问题,新增的主机网络在线状态检测功能让这个问题得以很好的解决,新增运维报表统计模块,这是2.0.2006非常大的改善,新版本报表完全站在用户的角度去分析审计数据的价值,统计运维人员的运维情况,从全局到细节,每个统计数据都对用户来说非常有意义,且新版本现在可以根据任意时间范围生成报表,极大的优化了老版本的种种不完善,报表以html 格式导出,导出报表兼容三种格式:pdf、doc、html。
此外,在资产管理方面2.0.2006版本增加了两大独有功能:
1、资产管理增加了SSH 协议控制配置,支持自定义环境变量设置:解决了从 SSH 协议资产设备上无法查看真实的运维源IP问题,提供环境变量设置传递解决方案,允许真正的运维用户名和源 IP 传递到目标系统上,客户可自定义shell 的使用,极大的方便了部分运维用户的需求,这也是2.0.2006版本独有的功能。
2、资产管理增加资产部分审批、审计功能,关闭资产审计后,仅有审计记录没有审计数据,解决了部分客户提出的针对重要敏感资产只运维不审计的需求:只记录会话操作的基础访问信息,而对操作内容不做记录。
2.0.2006版本的优化升级使运维审计的过程更加快捷,配置管理变得简单,数据导出的灵活性大幅提高,减少了在管理运维审计中的工作量,提高了效率,具有更好的用户体验度,安恒信息将为老用户们免费提供升级服务。明御运维审计与风险控制系统(简称:DAS-USM或堡垒主机)是安恒信息结合多年安全运维管理理论和实际运维经验的基础上,结合各类法令法规(如等级保护、分级保护、银监、证监、PCI、企业内控管理、SOX塞班斯、ISO27001等)对运维管理的要求。自主研发完成支持自动建模授权、应用虚拟化应用中心、统一账户管理与单点登录等功能,并符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)统一安全管理方案的、高性能、高抗网络攻击的运维安全管理系统。
明御运维审计与风险控制系统具备强大的输入输出审计功能,为企事业单位内部提供完整的审计信息,通过账号管理、身份认证、自动改密、资源授权、实时阻断、同步监控、审计回放、自动化运维、流程管理等功能增强运维管理的安全性,广泛适用于需要统一运维安全管理与审计的“政府、金融、电子商务、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、企业”等各个行业。
0条大神的评论