Amap是Kali Linux自带的一款信息收集工具。工作时,它首先向服务器的端口发送内置的触发包(tirgger),然后获取响应。通过分析响应包数据,来识别该端口的网络应用所使用的协议。由于它不通过端口号判断协议,所以即使该应用使用的是非标准端口,也不会被误导。这项功能类似于Nmap的-sV功能,[……]
识别网络应用所使用的协议Amap
发表回复
月度归档:2016年12月
密码生成常见的编码规则
人们在创建密码的时候,往往有一些常见的习惯,例如在密码后面加上出生年。这样操作的目的是为了提升密码的强度。而渗透测试中常见的密码生成工具为了提高破解几率,就会总结这些习惯,从而形成特有的编码规范。
这里以Kali自带的密码生成工具rsmangler来分析常见的编码规范。
(1)将原有密码[……]
汉语拼音密码安全性
昨天群里有人讨论使用汉语拼音构建长密码,认为比较安全。但实际是真的很安全吗?
汉语拼音大约有410-420种,为了计算方便,取最大值420。例如对于拼音密码daxueba进行分析,它是有三个拼音构成,包括7个字母。其复杂程度是420的3次方,即七千万(74088000)。而同样7位英文字母的复[……]
分享Kali Linux 2016.2第50周虚拟机
该虚拟机使用Kali Linux 2016.2第50周的64位镜像安装而成。基本配置如下:
(1)该系统默认设置单CPU双核,内存为2GB,硬盘为50GB。桌面系统为Gnome。root帐号的密码为daxueba。
(2)已经安装虚拟化增强工具open-vm-tools,支持全屏和复制/粘贴[……]
分享Kali Linux 2016.2第50周镜像文件
Kali Linux官方于12月11日发布Kali Linux 2016.2的第50周镜像。这次保持以往规律,仍然是11个镜像文件。默认的Gnome桌面的4个镜像,E17、KDE、LXDE、MATE、XFCE桌面的各一个,手机版的ARMEL和ARMHF各一个。有最近要安装Kali Linux系统的,[……]
提取LSA密码lsadump
LSA是Windows系统本地安全认证的模块。它会存储用户登录其他系统和服务用户名和密码,如VPN网络连接、ADSL网络连接、FTP服务、Web服务。通过搜集这些信息,便于对服务器进行渗透测试。
Kali Linux提供lasdump工具。利用Kali Linux系统U盘启动Windows电脑[……]
数据库密码爆破HexorBase
数据库服务是服务器上最常见的一类服务。由于数据库保存大量的敏感信息,所以它的安全非常重要。测试数据库服务安全的重要方式,就是检查口令的强壮度。
Kali Linux提供了HexorBase工具。该工具是少有的图形界面工具,它支持MySQL、Oracle、PostgreSQL、SQLite和SQ[……]
破解压缩文件密码rarcrack
常见的压缩文件格式有ZIP、RAR和7z。这三种格式都支持使用密码进行加密压缩。前面讲过破解ZIP压缩文件,可以使用fcrackzip。对于RAR和7z格式,可以使用rarcrack。该工具也是一款知名的加密压缩文件破解工具,它支持ZIP、RAR和7z三种格式。它采用暴力破解的模式进行破解。同时,用[……]
破解加密PDF文件pdfcrack
PDF是常见的文档格式。它允许用户设置双重密码来保护文档。第一重是用户密码(user password),当打开PDF文档,输入该密码。第二重是所有者密码(ower password),用于限制对文档的特定操作,如修改、打印、复制等。Kali Linux提供pdfcrack工具来破解PDF加密文档。[……]
破解图片马赛克
图片马赛克生成方式有很多种。大部分马赛克都属于不可逆的,一旦添加后,就无法恢复原始图形。但有一种图片马赛克根据用户密码进行生成,却可以恢复。这种算法被称为CP Mask。使用该算法,用户可以在指定图片的指定范围内生成马赛克。当用户输入密码后,还可以消除该马赛克,恢复马赛克覆盖范围的原始图形。虽然加密[……]