欢迎大家踊跃评论在渗透过程中碰到的弱口令。
由于人性的弱点,弱口令总是普遍存在着。弱口令也成为我们拿下权限的有力手段之一,高端的渗透总是这么朴实无法且枯燥。
PDF下载地址:https://zone.huoxian.cn/d/648-at
常见用户名形式:
欢迎大家踊跃评论在渗透过程中碰到的弱口令。
由于人性的弱点,弱口令总是普遍存在着。弱口令也成为我们拿下权限的有力手段之一,高端的渗透总是这么朴实无法且枯燥。
PDF下载地址:https://zone.huoxian.cn/d/648-at
常见用户名形式:
admin / Ab123456
求壮哥的自用弱口令字典
admin/123456a
admin/A123456 admin/iloveyou520
admin/123456
admin/admin888 admin/88888888
说个笑话,admin和123456
admin/admin
admin/1
admin/654321
就很奇葩 demo/ (没有密码)
test/test
admin888
很多都是弱口 但是大多的账号可以购买 咸鱼 转转 二手平台 谷歌语法 邮箱查询 还有系统的白皮书也会存在默认账号密码,曾经这样通杀过
admin/111111
guest/guest test/test
说说企业内部的弱口令吧,其实很多有一定体量的企业,在安全这块管理的颗粒度还是不够细,弱口令就是其中一个非常基础且很典型的一个环节,有些企业把自身的业务系统身份验证和域控进行了统一的关联,员工通过自己的域控账号就可以登录到企业内部的业务系统,而往往绝大多数的业务系统又是面向互联网开放的,现在移动办公又是必须存在的一种方式,所以很多时候在挖洞的同时弱口令也是一个突破口,其实说到最终还是人员的安全意识不够导致的。虽然域控很多都设置了密码强度,但是仍然有很多弱口令可以满足域控所设置的策略,例如:1qaz2wsx!@#、1qazxsw2#@!等等也都算是弱口令,并且也算是最常见的,更有甚者有些把弱口令直接设置成自己的手机号,如:13800000001这种的也是最常见的;另外,还有就是移动端的弱口令也是一个方面,如果移动端安全做的不够,未对口令进行加密传输,也是很容易被拿到的。