20250303web系统学习班 第七课 樊子健

字典生成&爆破&DNS 欺骗

字典生成

生成思路：人设置密码的方式都有自己的特殊规律和适合自己的记忆规则，而设置密码往往采用固定的逻辑。比如某一个人对一个东西很喜欢可能会用这个东西的拼音或者英文单词，在加上一些特殊寓意的数字来组合出自己的密码，所以字典的生成必须要针对个人，网上所谓的一个字典通用这种说法是不对的，最好的方法就是为某一个人编辑专属于他的密码字典。如果这个字典运用得当甚至可以猜解推算出管理员未来想设置的密码。

第一步    我们先要对你要爆破的那个设备的管理员做信息收集，比如管理员暴露在外的管理员邮箱、管理员姓名、生日、联系方式、或者网站的网址、ip 地址等等都可能成为关键词信息。

第二步    寻找内部信息，暴露在外信息可能有限，如果能找到社工库的话可以放到社工库进行查询等，具体方式在这里不做多余赘述。

第三步    找到信息后形成对应字典，如找到了管理员姓名 (zhangsan) 和邮箱 123456@xxx.com，某个社交网站昵称 (dafeng)，我们进行密码组合。

工具使用

01 Cewl 工具的使用

Cewl是一款采用Ruby开发的应用程序，你可以给它的爬虫指定URL地址和爬取深度，还可以添额外的外部链接，接下来Cewl会给你返回一个字典文件，你可以把字典用到类似John the Ripper这样的密码破解工具中。除此之外，Cewl还提供了命令行工具。

02 crunch简介与使用

Crunch是一种创建密码字典工具，按照指定的规则生成密码字典，可以灵活的制定自己的字典文件。使用Crunch工具生成的密码可以输出到屏幕，保存到文件、或另一个程序。

命令格式：

crunch <min-len>  <max-len>  [<charset string>] [options]

参数：
min-len             最小长度字符串，即使不使用参数的值，也需要此选项
max-len            最大长度字符串，即使不使用参数的值，也需要此选项
charset string    字符集设置，默认是小写字符集



options :
-b     指定文件输出的大小，避免字典文件过大  
-c     指定文件输出的行数，即包含密码的个数
-d     限制相同元素出现的次数
-e     定义停止字符，即到该字符串就停止生成
-f     调用库文件（/etc/share/crunch/charset.lst）
-i     改变输出格式，即aaa,aab -> aaa,baa
-I     通常与-t联合使用，表明该字符为实义字符
-m     通常与-p搭配
-o     将密码保存到指定文件
-p     指定元素以组合的方式进行
-q     读取密码文件，即读取pass.txt
-r     定义重某一字符串重新开始
-s     指定一个开始的字符，即从自己定义的密码xxxx开始
-t     指定密码输出的格式
-u     禁止打印百分比（必须为最后一个选项）
-z     压缩生成的字典文件，支持gzip,bzip2,lzma,7z



特殊字符，通常与-t配合使用
%      代表数字
^      代表特殊符号
@      代表小写字符
,      代表大写字符



03 xhydra简介与使用
Xhydra称为九头蛇，是一款登录爆破神器，Hydar几乎可以爆破各种协议的登录，比如windows的远程桌面、ssh、ftp、路由交换设备等等。著名黑客组织thc的一款开源的暴力密码破解工具，可以在线破解多种密码。

端口是计算机之间依照互联网传输层TCP/IP协议的规定通信，不同的规定对应不同的端口。范围在0-65535，其中固定端口0-1023，1024是保留端口，动态端口就是剩下的1024-65535。可以理解为传输数据用的。

常见端口的攻击思路

端口号	端口说明	攻击方向
21/22/69	FTP/TFTP文件传输协议	匿名上传/下载、嗅探、爆破
2049	NFS服务	配置不当
139	Samba服务	爆破、远程代码执行
389	Ldap目录访问协议	注入、匿名访问、弱口令
22	SSH远程连接	爆破、SSH映射隧道搭建、文件传输
23	Telnet远程连接	爆破、嗅探、弱口令
3389	RDP远程桌面连接	SHIFT后门、爆破
5900	VNC连接	弱口令爆破
5632	PyAnywhere服务	密码抓取、代码执行
80/443/8080	常见Web服务端口	Web漏洞、爆破、对应服务器版本漏洞
7001/7002	WebLogic控制台	JAVA反序列化、弱口令
8080/8089	Jboss/Resin/Jetty/Jenkins	反序列化、控制台弱口令
9090	WebSphere控制台	JAVA反序列化、弱口令
4848	GlassFish控制台	弱口令
1352	Lotus-domino邮件服务	弱口令、信息泄露、爆破
10000	Webmin-Web控制面板	弱口令
3306	MySQL	注入、提权、爆破
1433	MsSQL数据库	注入、提权、SA弱口令、爆破
1521	Oracle数据库	TNS爆破、注入、反弹Shell
5432	PostgreSQL数据库	爆破、注入、弱口令
27017/27018	MongoDB	爆破、未授权访问
6379	Redis数据库	未授权访问、弱口令
5000	SysBase/DB2数据库	爆破、注入
25	SMTP邮件服务	邮件伪造
110	POP3协议	爆破、嗅探
143	IMAP协议	爆破
53	DNS域名系统	允许区域传送、DNS劫持、缓存投毒、欺骗
67/68	DHCP服务	劫持、欺骗
161	SNMP服务	爆破、搜集目标内网信息
2181	Zookeeper服务	未授权访问
8069	Zabbix服务	远程执行、SQL注入
9200/9300	Elaseicsearch服务	远程执行
512/513/514	LinuxRexce服务	爆破、Rlogin登录
873	Rsync服务	匿名访问、文件上传
3690	SVN服务	SVN泄露、未授权访问
50000	SAP Management Console	远程执行

04 ettercap简介与使用

Ettercap最初是交换局域网的嗅探器，但在开发过程中，它获得了越来越多的功能，从而使其转变为强大而灵活的中间人攻击工具。它支持许多协议（甚至是加密协议）的主动和被动解剖，并包括许多用于网络和主机分析的功能。

Ettercap常用指令
用户界面类型
-T, -text 使用之显示字符的界面
-q，-quiet 安静模式，不显示抓到的数据包内容
-G ，-gtk 使用GTK+GUI，开启图形化模式
日志选项
-w 将嗅探的数据写入pcap文件
-L 此处记录所有流量


通用选项

-i 使用该网络接口
-l 显示所有的网络接口
-P 开始该插件《plugin》
-F 加载过滤器filter



嗅探与攻击选项

-M， 执行mitm攻击

第7节课作业

一、简答题

1、在生成字典时，有哪些思路来生成有用的字典？

第一步我们先要对你要爆破的那个设备的管理员做信息收集，比如管理员暴露在外的管理员邮箱、管理员姓名、生日、联系方式、或者网站的网址、ip 地址等等都可能成为关键词信息

第二步寻找内部信息，暴露在外信息可能有限，如果能找到社工库的话可以放到社工库进行查询等，具体方式在这里不做多余赘述。

第三步找到信息后形成对应字典，如找到了管理员姓名 (zhangsan) 和邮箱 123456@xxx.com，某个社交网站昵称 (dafeng)，我们进行密码组合

2、利用crunch生成一个前五位是xiaoming，后三位是数字的11位数字典，名为test.txt命令是什么？

crunch 8 8 -s xiaoming -t %%% -o test.txt

3、利用crunch生成3位数的字典，以密码库charset.lst中mixalpha-numeric-symbol14模块的,名为user.txt命令是什么？

crunch 3 3 -f /usr/share/crunch/charset.lst mixalpha-numeric-symbol14 -o user.txt

4、利用crunch生成以1831903为前七位的电话号码的命令，名为aa.Txt是什么？

crunch 7 11 -s 1831903 -t %%% -o aa.Txt

5、利用crunch生成第1-3位为abc，第四位为符号，第五位为大写字母，第六位为小写字母，第七位为数字的七位数字典，名为cc.txt的命令是什么？

crunch 1 3 -s abc -t ^<@% -o cc.txt

6、arp中间人攻击的原理是什么？

ARP中间人攻击（ARP Spoofing）的原理是利用ARP协议的缺陷，通过伪造ARP报文来篡改目标设备的ARP缓存，从而实现流量劫持或监听。

7、Dns劫持的原理是什么？

DNS劫持就是通过各种技术手段取得域名的解析控制权，进而修改域名的解析记录，将域名指向的服务器IP修改为受控制的IP地址，从而将用户引导至虚假网站，实现窃取用户信息，破坏正常服务的目的。

二、 实操题

利用hydra爆破ssh服务。

利用hydra爆破rdp服务