本文目录一览:
弱口令自动扫描工具有哪些?
仅供参考
F-Scrack(服务弱口令检测脚本)
功能
一款python编写的轻量级弱口令检测脚本,目前支持以下服务:FTP、MYSQL、MSSQL、MONGODB、REDIS、TELNET、ELASTICSEARCH、POSTGRESQL。
弱口令检测脚本 – F-Scrack
wegame异地扫码被盗号
一位微博ID为阿木木的用户分享了在网吧登录装有盗号木马插件的Tecent WeGame时,扫码瞬间即登录,“登录游戏需要等十秒验证,这个盗号狗说登录就登录了?希望更多人知道网吧这种盗号插件。”一位ID为blackorbird的用户表示,“我认识被盗QQ号的都是去网吧扫过WeGame登录码,通过WeGame接口是可以发信息给好友的。”
多年未用账号突然“诈尸”
一位QQ用户对记者表示,自己已经很多年没用QQ了,近日突然被朋友提醒,称其账号在QQ上向朋友发送色情网址链接,该用户紧急上线重置密码找回账号。另一位QQ用户提供给记者的QQ聊天截图显示,其朋友在2021年被多次盗号,经历盗号、找回、再被盗的过程。每次被盗号后都会给该用户发来抽奖游戏与博彩方面的截图。
今年5月,QQ账号集体被盗的情况也曾发生,网友反馈盗号者会向其好友和QQ群发送低俗广告,虽然广告图片各不相同,但指向的网址都是同一个。操作手法与最终目的与此次QQ账号被盗事件雷同。
顶象业务安全专家对第一财经记者表示,QQ方面表示后续会公布调查报告,从目前资料来看,大规模用户被盗号主要原因在于QQ有开放生态,其账号可以作为其他平台/网站的授权账号,或者直接注册为其他平台/网站账号。
在此背景下,诈骗分子制作了一个虚假的QQ授权登录二维码——即篡改的该游戏二维码,放在某游戏的登录注册界面。用户扫码后,将用户登录后token(身份登录凭证;计算机身份认证中是临时令牌)保存下来。诈骗分子将保存的用户token进行账号登录,然后黑产分子就可以发布各类诈骗信息、钓鱼信息等。
奇安信集团威胁情报中心负责人汪列军对第一财经记者表示,根据腾讯官方的公告描述,黑产团伙很可能利用了安全缺陷,在不安全的机器上植入了事先构造好的虚假登录二维码诱骗用户扫描,从而收集账号密码。这种攻击方式与若干年前流行的盗号木马如出一辙,只要恶意工具可以大范围传播,便可以批量盗窃大量用户的账号。
黑产经济链条根治难度极大
针对黑灰产方面的攻击,QQ方面实际一直进行治理与防护。2022年一季度QQ平台治理公告显示,一季度QQ安全团队打击欺诈、赌博、色情等违规账号500余万,同时重点开展网络水军处置、“荐股”欺诈专项治理,持续清理“饭圈”乱象。
但此次仍发生大规模用户账号被盗事件,在顶象业务安全专家看来,原因可能是由于某游戏网站或平台的账号密码被黑灰产窃取,也就是俗话说的“脱库”,里面包含QQ用户授权登录的token,黑灰产拿着获取到的账户信息,直接登录用户账号,发布各类欺诈信息。
持续投入网络安全与黑灰产打击,为什么还是发生用户账号被盗事件?在安全从业者田际云看来,相对来说,QQ安全做得还不错,毕竟是拥有几十亿用户的平台,如果安全性没有良好保障,不仅将造成重大问题,用户也不会买账。
但在数字时代,田际云称,个人账号的登录与使用场景繁杂,或许QQ内部和已知接口方面做得很好,但数以百万、千万级的应用调用和复杂变化的场景,这其中存在大量安全隐患,毕竟对其无法像内部或常用接口防护要求那么正规。
举个例子,田际云称,阿里安全做得也很好,但依旧不断有人接到诈骗电话,比如某消费者在电商平台买完东西,第二天就收到商家诈骗电话,对方称商品被扣海关或需要退货等,但这些信息并不是从阿里内部泄露的,可能是三方平台——比如快递、CRM等同步了用户订单与账户信息的平台或接口泄露出去的。“阿里、腾讯这类超大型数字平台的网络安全措施比中小公司做得好很多,但安全是相对的,没有绝对的。”田际云对记者表示。
在攻击者层面,汪列军表示,有关个人账号的盗窃、贩卖、滥用已经形成了完成的黑产经济链条,彻底根治的难度极大。同时,随着黑灰产团伙的迅速发展,黑客工具变得越来越廉价和易用,即便小白用户也可通过购买完整的黑客工具和服务,发起高质量的网络攻击,让人防不胜防。
在个人用户层面,汪列军提醒:由于个人安全意识的缺失,导致黑灰产团伙拥有大量可乘之机——例如密码设置过于简单、对于潜在的威胁(如虚假二维码、钓鱼网站、钓鱼邮件等)认知不足,导致个人账户极易被窃取。同时为便于记忆,用户经常在多个平台设置同一套密码,一旦一个平台账户被窃,很容易导致多个账户出事。尤其是涉及电商、游戏等平台账户,由于旗下往往拥有大量虚拟财产或者绑定支付账户,容易成为黑灰产窃取的主要对象。
在平台运营者层面,尽管随着《网络安全法》、《数据安全法》等法律法规的出台,网络安全保护力度大大增强,但由于历史原因,很多平台依然存在着安全盲区或缺陷,容易遭到黑灰产团伙的利用,导致用户账户失窃。另外值得注意的是,某些平台还可能存在“内鬼”,即内部员工利用特殊权限,窃取公司用户账户,用于牟取利益。
汪列军表示,企业多次发生用户账号被盗事件,首当其冲的当属弱口令缺陷,如某些办公系统(如OA)和数据库的管理员账户或者员工域账号使用弱口令遭到黑客利用,导致数据库被拖库的事件已屡见不鲜;其次是缺乏相应的安全防护手段。网络安全建设是一个体系化工程,存在木桶效应,任何一块短板都可能导致整个系统的失陷;第三是员工安全意识参差不齐。
因此站在企业层面,汪列军建议,应当用体系化、工程化的思想,实现网络安全与信息化的深度融合与全面覆盖,部署相应的安全设备,同时制定账户安全规则,定期修改登录密码。同时企业应当定期开展网络安全教育与实战攻防演习,提升员工整体安全意识基线。一旦发现弱口令、漏洞等安全隐患应及时解决,杜绝其成为历史遗留。
作为个人用户应当擦亮眼睛,不要轻易在来路不明的渠道输入账号、密码等敏感个人信息,如有必要应当在个人电脑或者手机上安装安全软件。
弱口令扫描操作
弱口令扫描操作手册
一、弱口令简介
弱口令目前没有严格和准确的定义,通常认为容易被别人猜测或被破解工具破解的口令即为弱口令。对弱口令的定义为,不满足以下五项条件之一即为弱口令:
1、口令长度应至少8位;
2、口令应包括数字、小写字母、大写字母、特殊符号4类中至少3类;
3、口令应与用户名无相关性,口令中不得包含用户名的完整字符串、大小写变位或形似变换的字符串;
4、应更换系统或设备的出厂默认口令;
5、口令设置应避免键盘排序密码;
二、弱口令类型
目前常见的弱口令类型有TELNET、SSH、SNMP、FTP、MYSQL、MSSQL、ORACL、HTTP等。其中TELNET、SSH、FTP、MYSQL、MSSQL、ORACLE、HTTP等为TCP协议,都是通过用户名+密码的形式登录;SNMP为UDP协议,通过community字符串登录即可。
三、弱口令字典
弱口令检查一般都是通过自动化工具批量进行,主要的难点在于字典的构造。通常来说,字典越大,扫描的效果就越好,但是扫描花费的时间也会越长,所以我们需要根据自己的任务紧急程度选择不同大小的字典。
移动互联网行业,拥有很多网络设备,所以我们需要结合设备本身的特性来优化字典。比如某网络设备的默认用户名是useradmin,默认密码是admin!@#$%^,此时我们就应该检查自己的用户名字典和弱口令字典中是否包含以上字符串,如果没有就应该将其加入到字典中。
四、工具介绍
硬件扫描器:绿盟RSAS
绿盟远程安全评估系统(NSFOCUS Remote Security Assessment System 简称:NSFOCUS RSAS)是国内一款常见的漏洞扫描工具,它的“口令猜测任务”模块即可对各协议进行专门的弱口令扫描。
1、 [登录扫描器,选择“新建任务”
2、 选择“口令猜测任务”,并输入扫描目标(可以直接输入扫描地址,也可通过文件导入)
3、 选择需要扫描的协议类型,如FTP、SSH等,然后选择需要使用的字典。
4、根据任务需求选择配置其他选项(或者保持默认配置),最后选择确定即可。
在新建任务的过程中,如果我们选择“密码字典管理”选项,还可以新建一个自己的独特字典。
l 开源扫描器:hydra
hydra是一款开源的弱口令扫描神器,它可以在windows、linux、OSX等多个平台上运行,它支持几乎所有常见协议的弱口令扫描。
1、hydra语法
hydra[[[-l LOGIN|-L FILE] [-p PASS|-P FILE]] | [-C FILE]] [-e ns] [-o FILE] [-tTASKS] [-M FILE [-T TASKS]] [-w TIME] [-f] [-s PORT] [-S] [-vV] server service[OPT]
-R
继续从上一次进度接着破解
-S
大写,采用SSL链接
-s
小写,可通过这个参数指定非默认端口
-l
指定破解的用户,对特定用户破解
-L
指定用户名字典
-p
小写,指定密码破解,少用,一般是采用密码字典
-P
大写,指定密码字典
-e
可选选项,n:空密码试探,s:使用指定用户和密码试探
-C FILE
使用冒号分割格式,例如“登录名:密码”来代替-L/-P参数
-M FILE
指定目标列表文件一行一条
-o FILE
指定结果输出文件
-f
在使用-M参数以后,找到第一对登录名或者密码的时候中止破解
-t TASKS
同时运行的线程数,默认为16
-w TIME
设置最大超时的时间,单位秒,默认是30s
-v/ -V
显示详细过程
server
目标ip
service
指定服务名,支持的服务和协议:telnet ftp pop3[-ntlm] imap[-ntlm] smb smbnt http[s]-{head|get}http-{get|post}-form http-proxy ciscocisco-enable vnc ldap2 ldap3 mssql mysql oracle-listener postgres nntp socks5 rexec rlogin pcnfs snmprsh cvs svn icq sapr3 ssh2 smtp-auth[-ntlm] pcanywhere teamspeak sip vmauthd firebird ncp afp等等
OPT
可选项
[if !supportLists] 2、 [endif]使用范例
扫描SSH 弱口令
# hydra-L users.txt -P password.txt -t 1 -vV -e ns 192.168.1.104 ssh
-L 指定用户名字典(一行一个用户名字符串),-P指定密码字典(一行一个密码字符串),-t 指定线程数为1,-vV设置显示详细扫描过程,-e 设置使用空口令试探,最后是要扫描的IP地址和协议类型。
扫描SNMP 弱口令
#hydra-P snmppwd.txt -M ip.txt -o save.log snmp
-P 指定密码字典,-M指定目标IP文件(一行一个IP地址),-o指定结果输出文件,最后指定扫描协议SNMP。
专用扫描器:Tomcat弱口令扫描器
“Apache tomcat弱口令扫描器”是一款专用的tomcat弱口令扫描器,可以灵活的配置扫描IP、端口、用户名和字典等。
1、简单扫描整个网段
在“起始IP”中填入开始IP,在“终止IP”中填入结束IP,然后点击“添加”(可多次添加),最后点击“开始”即可。
2、高级设置:配置用户名和字典等
点击“设置”进入设置页面:
在设置页面可以导入自己的个性化“用户名”和“密码字典”,同时也可以通过文件导入要扫描的IP,配置好相关选项后,点击开始即可扫描。
专用扫描器:Burp Suite
Burp Suite是一款web渗透测试神器,可以测试SQL注入、XSS等各种漏洞,同时我们也可以使用它对WEB登录页面进行弱口令测试。
1、打开Burp Suite,配置监听端口,并在浏览器中设置代理为上述端口,如下图为8080。
2、使用浏览器打开需要测试的页面,并使用Burp Suite抓取登录请求。
3、选中请求,鼠标右键,选择“Send to Intruder”
4、在“Positions”标签下,选择需要暴力破解的字段
5、在“Payloads”标签下选择弱口令字典文件
6、点击开始攻击,通过比较应答的大小等方式获取破解成功的弱口令(此例中为password)。