微软渗透测试怎么做_微软渗透测试

*** 安全包括哪些内容

之一阶段：计算环境安全。

针对操作系统、中间件基础操作以及安全配置进行教学，配置真实业务系统，需掌握Windows操作系统安全、Linux操作系统安全、中间件安全、数据库安全、PowerShell编程、LinuxShell编程、密码学应用等技术，并能够对操作系统以及业务系统进行安全配置以及安全事件分析。

第二阶段： *** 通信安全。

针对 *** 通信安全进行教学，涵盖 *** 基础、交换协议、路由协议、协议流量分析等内容，并配备电信级 *** 环境为该部门教学提供基础支撑。

本阶段需要掌握 *** 设计以及规划，并对参与 *** 的 *** 设备进行 *** 互联配置，从业务需求出发对 *** 结构进行安全设计以及 *** 设备安全配置。

讲师会结合当前最新安全趋势以及龙头安全企业或行业安全风险对安全市场进行分析及预测，让学员能够在学习阶段提前与安全市场进行接轨。

第三阶段：Web安全。

本阶段需掌握Web安全漏洞的测试和验证，以及 *** 安全攻击思路及手段，熟练利用所学知识以对其进行防御，掌握 *** 安全服务流程。

第四阶段 ：渗透测试。

本阶段需要掌握渗透测试和内网安全。

渗透测试，这阶段主要学习实战中红队人员常用的攻击 *** 和套路，包括信息搜集，系统提权，内网转发等知识，msf，cs的工具使用。课程目标让学员知己知彼，从攻击者角度来审视自身防御漏洞，帮助企业在红蓝对抗，抵御真实apt攻击中取得不错的结果。

第五阶段：安全运营。

根据业务需求掌握目前常见 *** 安全设备以及服务器的安全配置以及优化，利用所有安全防护手段中得到的线索进行安全事件关联分析以及源头分析，并掌握 *** 威胁情报理论与实践，掌握威胁模型建立，为主动防御提供思路及支撑。

本阶段主要学习安全加固、等级保护、应急响应、风险评估等技术知识。

第六阶段：综合实战

本阶段自选项目，针对热点行业（党政、运营商、医疗、教育、能源、交通等）业务系统、数据中心以及核心节点进行安全运营实战；按等保2.0基本要求对提供公共服务的信息系统进行安全检测、风险评估、安全加固以及安全事件应急响应。

如何检测网站漏洞和后门及如何预防攻击

如何知道您的网站有没有漏洞呢？近来很多网站受到了各种各样形式的攻击，黑客攻击和入侵的动机各不一样，黑客人攻击的目标也有不确定性，作为一家企业的网管、或CEO，您是否担心您的网站也遭受同样的命运呢？

普通的黑客主要通过上传漏洞、暴库、注入、旁注等几种方式入侵近7成网站的。当然，还有更高级别的入侵行为，有些黑客为寻找一个入侵点而跟进一个网站好几个月的情况也是有的。我们先重点看看这些容易被黑的网站。

1、上传漏洞

这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗，利用上传漏洞可以直接得到WEBSHELL，危害等级超级高，现在的入侵中上传漏洞也是常见的漏洞。

温馨提醒：

大多网站的程序都是在公有的程序基础上修改的，程序总会存在漏洞。聪明的网站管理员应该学会熟练的掌握以上工具，时常关注自己web程序最新的漏洞。并使用上述工具进行自我检测，以确保网站安全。

2、暴库：

许多站点有这个漏洞可以利用。非常危险！

温馨提醒：

数据库始终是黑客最感兴趣的东西。数据库安全性却不是每个程序员在编程的时候能全面考虑到的。应该在上线后，找专业的安全公司进行测试数据库渗透测试，以确保数据库安全。

3、注入漏洞：

这个漏洞是现在应用最广泛，杀伤力也很大的漏洞，可以说微软的官方网站也存在着注入漏洞。

温馨提醒：

大型公司的网站应该找懂安全编程的高级程序员来进行，并且开发上线后，应该请专业公司进行安全性测试。以确保程序安全、可靠！

4、旁注：

我们入侵某站时可能这个站坚固的无懈可击，我们可以找下和这个站同一服务器的站点，然后在利用这个站点用提权，嗅探等 *** 来入侵我们要入侵的站点。

温馨提醒：

大型公司的网站，更好可以自己拥有独立的服务器。并做好服务器安全设置，可利用禁用端口，限制登录IP，及时打好补丁等方式来保障服务器的安全。

nmap使用求助

Nmap是一款 *** 扫描和主机检测的非常有用的工具。Nmap是不局限于仅仅收集信息和枚举，同时可以用来作为一个漏洞探测器或安全扫描器。它可以适用于winodws,linux,mac等操作系统

Nmap是一款非常强大的实用工具,可用于：检测活在 *** 上的主机（主机发现）检测主机上开放的端口（端口发现或枚举）检测到相应的端口（服务发现）的软件和版本检测操作系统，硬件地址，以及软件版本检测脆弱性的漏洞（Nmap的脚本）Nmap是一个非常普遍的工具，它有命令行界面和图形用户界面。本人包括以下方面的内容:介绍Nmap扫描中的重要参数操作系统检测Nmap使用教程Nmap使用不同的技术来执行扫描，包括：TCP的connect（）扫描，TCP反向的ident扫描，FTP反弹扫描等。所有这些扫描的类型有自己的优点和缺点，我们接下来将讨论这些问题。 Nmap的使用取决于目标主机,因为有一个简单的（基本）扫描和预先扫描之间的差异。我们需要使用一些先进的技术来绕过防火墙和入侵检测/防御系统，以获得正确的结果。下面是一些基本的命令和它们的用法的例子：扫描单一的一个主机，命令如下：

代码如下:

#nmap nxadmin.com#nmap 192.168.1.2

扫描整个子网,命令如下:

代码如下:

#nmap 192.168.1.1/24

扫描多个目标,命令如下：

代码如下:

#nmap 192.168.1.2 192.168.1.5

扫描一个范围内的目标,如下：

代码如下:

#nmap 192.168.1.1-100 (扫描IP地址为192.168.1.1-192.168.1.100内的所有主机)

如果你有一个ip地址列表，将这个保存为一个txt文件，和namp在同一目录下,扫描这个txt内的所有主机，命令如下：

代码如下:

#nmap -iL target.txt

如果你想看到你扫描的所有主机的列表，用以下命令:

代码如下:

#nmap -sL 192.168.1.1/24

扫描除过某一个ip外的所有子网主机,命令：

代码如下:

#nmap192.168.1.1/24-exclude192.168.1.1

扫描除过某一个文件中的ip外的子网主机命令

代码如下:

#nmap192.168.1.1/24-excludefilexxx.txt(xxx.txt中的文件将会从扫描的主机中排除)

扫描特定主机上的80,21,23端口,命令如下

代码如下:

#nmap-p80,21,23192.168.1.1

从上面我们已经了解了Nmap的基础知识，下面我们深入的探讨一下Nmap的扫描技术

Tcp SYN Scan (sS) 这是一个基本的扫描方式,它被称为半开放扫描，因为这种技术使得Nmap不需要通过完整的握手，就能获得远程主机的信息。Nmap发送SYN包到远程主机，但是它不会产生任何会话.因此不会在目标主机上产生任何日志记录,因为没有形成会话。这个就是SYN扫描的优势.如果Nmap命令中没有指出扫描类型,默认的就是Tcp SYN.但是它需要root/administrator权限.

代码如下:

#nmap -sS 192.168.1.1

Tcp connect() scan(sT)如果不选择SYN扫描,TCP connect()扫描就是默认的扫描模式.不同于Tcp SYN扫描,Tcp connect()扫描需要完成三次握手,并且要求调用系统的connect().Tcp connect()扫描技术只适用于找出TCP和UDP端口.

代码如下:

#nmap -sT 192.168.1.1

Udp scan(sU)顾名思义,这种扫描技术用来寻找目标主机打开的UDP端口.它不需要发送任何的SYN包，因为这种技术是针对UDP端口的。UDP扫描发送UDP数据包到目标主机，并等待响应,如果返回ICMP不可达的错误消息，说明端口是关闭的，如果得到正确的适当的回应，说明端口是开放的.

代码如下:

#nmap -sU 192.168.1.1

FINscan(sF)

有时候TcpSYN扫描不是更佳的扫描模式,因为有防火墙的存在.目标主机有时候可能有IDS和IPS系统的存在,防火墙会阻止掉SYN数据包。发送一个设置了FIN标志的数据包并不需要完成TCP的握手.

代码如下:

a href="mailto:root@bt:~#nmap-sF192.168.1.8"root@bt:~#nmap-sF192.168.1.8/a/p pStartingNmap5.51at2012-07-0819:21PKTNmapscanreportfor192.168.1.8Hostisup(0.000026slatency).Notshown:999closedportsPORTSTATESERVICE111/tcpopen|filteredrpcbind

FIN扫描也不会在目标主机上创建日志(FIN扫描的优势之一).个类型的扫描都是具有差异性的,FIN扫描发送的包只包含FIN标识,NULL扫描不发送数据包上的任何字节,XMAS扫描发送FIN、PSH和URG标识的数据包.

PINGScan(sP)

PING扫描不同于其它的扫描方式，因为它只用于找出主机是否是存在在 *** 中的.它不是用来发现是否开放端口的.PING扫描需要ROOT权限，如果用户没有ROOT权限,PING扫描将会使用connect()调用.

代码如下:

#nmap-sP192.168.1.1

版本检测(sV)

版本检测是用来扫描目标主机和端口上运行的软件的版本.它不同于其它的扫描技术，它不是用来扫描目标主机上开放的端口，不过它需要从开放的端口获取信息来判断软件的版本.使用版本检测扫描之前需要先用TCPSYN扫描开放了哪些端口.

代码如下:

#nmap-sV192.168.1.1

Idlescan(sL)

Idlescan是一种先进的扫描技术，它不是用你真实的主机Ip发送数据包，而是使用另外一个目标 *** 的主机发送数据包.

代码如下:

#nmap-sL192.168.1.6192.168.1.1

Idlescan是一种理想的匿名扫描技术,通过目标 *** 中的192.168.1.6向主机192.168.1.1发送数据，来获取192.168.1.1开放的端口

有需要其它的扫描技术，如FTPbounce（FTP反弹）,fragmentationscan（碎片扫描）,IPprotocolscan（IP协议扫描）,以上讨论的是几种最主要的扫描方式.

Nmap的OS检测（O）

Nmap最重要的特点之一是能够远程检测操作系统和软件，Nmap的OS检测技术在渗透测试中用来了解远程主机的操作系统和软件是非常有用的，通过获取的信息你可以知道已知的漏洞。Nmap有一个名为的nmap-OS-DB数据库，该数据库包含超过2600操作系统的信息。Nmap把TCP和UDP数据包发送到目标机器上，然后检查结果和数据库对照。

代码如下:

InitiatingSYNStealthScanat10:21Scanninglocalhost(127.0.0.1)[1000ports]Discoveredopenport111/tcpon127.0.0.1CompletedSYNStealthScanat10:21,0.08selapsed(1000totalports)InitiatingOSdetection(try#1)againstlocalhost(127.0.0.1)RetryingOSdetection(try#2)againstlocalhost(127.0.0.1)

上面的例子清楚地表明，Nmap的首次发现开放的端口，然后发送数据包发现远程操作系统。操作系统检测参数是O（大写O）

Nmap的操作系统指纹识别技术：

设备类型（路由器，工作组等）运行（运行的操作系统）操作系统的详细信息（操作系统的名称和版本） *** 距离（目标和攻击者之间的距离跳）

如果远程主机有防火墙，IDS和IPS系统，你可以使用-PN命令来确保不ping远程主机，因为有时候防火墙会组织掉ping请求.-PN命令告诉Nmap不用ping远程主机。

代码如下:

#nmap-O-PN192.168.1.1/24

以上命令告诉发信主机远程主机是存活在 *** 上的，所以没有必要发送ping请求,使用-PN参数可以绕过PING命令,但是不影响主机的系统的发现.

Nmap的操作系统检测的基础是有开放和关闭的端口，如果OSscan无法检测到至少一个开放或者关闭的端口，会返回以下错误：

代码如下:

Warning:OSScanresult *** aybeunreliablebecausewecouldnotfindatleast1openand1closedport

OSScan的结果是不可靠的，因为没有发现至少一个开放或者关闭的端口

这种情况是非常不理想的，应该是远程主机做了针对操作系统检测的防范。如果Nmap不能检测到远程操作系统类型，那么就没有必要使用-osscan_limit检测。

想好通过Nmap准确的检测到远程操作系统是比较困难的，需要使用到Nmap的猜测功能选项,–osscan-guess猜测认为最接近目标的匹配操作系统类型。

代码如下:

#nmap-O--osscan-guess192.168.1.1

下面是扫描类型说明

-sTTCPconnect()扫描：这是最基本的TCP扫描方式。connect()是一种系统调用，由操作系统提供，用来打开一个连接。如果目标端口有程序监听，connect()就会成功返回，否则这个端口是不可达的。这项技术更大的优点是，你勿需root权限。任何UNIX用户都可以自由使用这个系统调用。这种扫描很容易被检测到，在目标主机的日志中会记录大批的连接请求以及错误信息。

-sSTCP同步扫描(TCPSYN)：因为不必全部打开一个TCP连接，所以这项技术通常称为半开扫描(half-open)。你可以发出一个TCP同步包(SYN)，然后等待回应。如果对方返回SYN|ACK(响应)包就表示目标端口正在监听；如果返回RST数据包，就表示目标端口没有监听程序；如果收到一个SYN|ACK包，源主机就会马上发出一个RST(复位)数据包断开和目标主机的连接，这实际上有我们的操作系统内核自动完成的。这项技术更大的好处是，很少有系统能够把这记入系统日志。不过，你需要root权限来定制SYN数据包。

-sF-sX-sN秘密FIN数据包扫描、圣诞树(XmasTree)、空(Null)扫描模式：即使SYN扫描都无法确定的情况下使用。一些防火墙和包过滤软件能够对发送到被限制端口的SYN数据包进行监视，而且有些程序比如synlogger和courtney能够检测那些扫描。这些高级的扫描方式可以逃过这些干扰。些扫描方式的理论依据是：关闭的端口需要对你的探测包回应RST包，而打开的端口必需忽略有问题的包(参考RFC793第64页)。FIN扫描使用暴露的FIN数据包来探测，而圣诞树扫描打开数据包的FIN、URG和PUSH标志。不幸的是，微软决定完全忽略这个标准，另起炉灶。所以这种扫描方式对Windows95/NT无效。不过，从另外的角度讲，可以使用这种方式来分别两种不同的平台。如果使用这种扫描方式可以发现打开的端口，你就可以确定目标注意运行的不是Windows系统。如果使用-sF、-sX或者-sN扫描显示所有的端口都是关闭的，而使用SYN扫描显示有打开的端口，你可以确定目标主机可能运行的是Windwos系统。现在这种方式没有什么太大的用处，因为nmap有内嵌的操作系统检测功能。还有其它几个系统使用和windows同样的处理方式，包括Cisco、BSDI、HP/UX、MYS、IRIX。在应该抛弃数据包时，以上这些系统都会从打开的端口发出复位数据包。　

-sPping扫描：有时你只是想知道此时 *** 上哪些主机正在运行。通过向你指定的 *** 内的每个IP地址发送ICMPecho请求数据包，nmap就可以完成这项任务。如果主机正在运行就会作出响应。不幸的是，一些站点例如：microsoft.com阻塞ICMPecho请求数据包。然而，在默认的情况下nmap也能够向80端口发送TCPack包，如果你收到一个RST包，就表示主机正在运行。nmap使用的第三种技术是：发送一个SYN包，然后等待一个RST或者SYN/ACK包。对于非root用户，nmap使用connect() *** 。在默认的情况下(root用户)，nmap并行使用ICMP和ACK技术。注意，nmap在任何情况下都会进行ping扫描，只有目标主机处于运行状态，才会进行后续的扫描。如果你只是想知道目标主机是否运行，而不想进行其它扫描，才会用到这个选项。

-sUUDP扫描：如果你想知道在某台主机上提供哪些UDP(用户数据报协议,RFC768)服务，可以使用这种扫描 *** 。nmap首先向目标主机的每个端口发出一个0字节的UDP包，如果我们收到端口不可达的ICMP消息，端口就是关闭的，否则我们就假设它是打开的。有些人可能会想UDP扫描是没有什么意思的。但是，我经常会想到最近出现的solarisrpcbind缺陷。rpcbind隐藏在一个未公开的UDP端口上，这个端口号大于32770。所以即使端口111(portmap的众所周知端口号)被防火墙阻塞有关系。但是你能发现大于30000的哪个端口上有程序正在监听吗?使用UDP扫描就能！cDcBackOrifice的后门程序就隐藏在Windows主机的一个可配置的UDP端口中。不考虑一些通常的安全缺陷，一些服务例如:snmp、tftp、NFS使用UDP协议。不幸的是，UDP扫描有时非常缓慢，因为大多数主机限制ICMP错误信息的比例(在RFC1812中的建议)。例如，在Linux内核中(在net/ipv4/icmp.h文件中)限制每4秒钟只能出现80条目标豢纱锏肾CMP消息，如果超过这个比例，就会给1/4秒钟的处罚。solaris的限制更加严格，每秒钟只允许出现大约2条ICMP不可达消息，这样，使扫描更加缓慢。nmap会检测这个限制的比例，减缓发送速度，而不是发送大量的将被目标主机丢弃的无用数据包。不过Micro$oft忽略了RFC1812的这个建议，不对这个比例做任何的限制。所以我们可以能够快速扫描运行Win95/NT的主机上的所有65K个端口。

-sAACK扫描：这项高级的扫描 *** 通常用来穿过防火墙的规则集。通常情况下，这有助于确定一个防火墙是功能比较完善的或者是一个简单的包过滤程序，只是阻塞进入的SYN包。这种扫描是向特定的端口发送ACK包(使用随机的应答/序列号)。如果返回一个RST包，这个端口就标记为unfiltered状态。如果什么都没有返回，或者返回一个不可达ICMP消息，这个端口就归入filtered类。注意，nmap通常不输出unfiltered的端口，所以在输出中通常不显示所有被探测的端口。显然，这种扫描方式不能找出处于打开状态的端口。

-sW对滑动窗口的扫描：这项高级扫描技术非常类似于ACK扫描，除了它有时可以检测到处于打开状态的端口，因为滑动窗口的大小是不规则的，有些操作系统可以报告其大小。这些系统至少包括：某些版本的AIX、Amiga、BeOS、BSDI、Cray、Tru64UNIX、DG/UX、OpenVMS、DigitalUNIX、OpenBSD、OpenStep、QNX、Rhapsody、SunOS4.x、Ultrix、VAX、VXWORKS。从nmap-hackers邮件3列表的文档中可以得到完整的列表。

-sRRPC扫描。这种 *** 和nmap的其它不同的端口扫描 *** 结合使用。选择所有处于打开状态的端口向它们发出SunRPC程序的NULL命令，以确定它们是否是RPC端口，如果是，就确定是哪种软件及其版本号。因此你能够获得防火墙的一些信息。诱饵扫描现在还不能和RPC扫描结合使用。

-bFTP反弹攻击(bounceattack):FTP协议(RFC959)有一个很有意思的特征，它支持 *** FTP连接。也就是说，我能够从evil.com连接到FTP服务器target.com，并且可以要求这台FTP服务器为自己发送Internet上任何地方的文件！1985年，RFC959完成时，这个特征就能很好地工作了。然而，在今天的Internet中，我们不能让人们劫持FTP服务器，让它向Internet上的任意节点发送数据。如同Hobbit在1995年写的文章中所说的，这个协议"能够用来做投递虚拟的不可达邮件和新闻，进入各种站点的服务器,填满硬盘，跳过防火墙，以及其它的骚扰活动，而且很难进行追踪"。我们可以使用这个特征，在一台 *** FTP服务器扫描TCP端口。因此，你需要连接到防火墙后面的一台FTP服务器，接着进行端口扫描。如果在这台FTP服务器中有可读写的目录，你还可以向目标端口任意发送数据(不过nmap不能为你做这些)。传递给-b功能选项的参数是你要作为 *** 的FTP服务器。语法格式为：-busername:password@server:port。除了server以外，其余都是可选的。如果你想知道什么服务器有这种缺陷，可以参考我在Phrack51发表的文章。还可以在nmap的站点得到这篇文章的最新版本。

通用选项这些内容不是必需的，但是很有用。

-P0在扫描之前，不必ping主机。有些 *** 的防火墙不允许ICMPecho请求穿过，使用这个选项可以对这些 *** 进行扫描。microsoft.com就是一个例子，因此在扫描这个站点时，你应该一直使用-P0或者-PT80选项。

-PT扫描之前，使用TCPping确定哪些主机正在运行。nmap不是通过发送ICMPecho请求包然后等待响应来实现这种功能，而是向目标 *** (或者单一主机)发出TCPACK包然后等待回应。如果主机正在运行就会返回RST包。只有在目标 *** /主机阻塞了ping包，而仍旧允许你对其进行扫描时，这个选项才有效。对于非root用户，我们使用connect()系统调用来实现这项功能。使用-PT来设定目标端口。默认的端口号是80，因为这个端口通常不会被过滤。

-PS对于root用户，这个选项让nmap使用SYN包而不是ACK包来对目标主机进行扫描。如果主机正在运行就返回一个RST包(或者一个SYN/ACK包)。

-PI设置这个选项，让nmap使用真正的ping(ICMPecho请求)来扫描目标主机是否正在运行。使用这个选项让nmap发现正在运行的主机的同时，nmap也会对你的直接子网广播地址进行观察。直接子网广播地址一些外部可达的IP地址，把外部的包转换为一个内向的IP广播包，向一个计算机子网发送。这些IP广播包应该删除，因为会造成拒绝服务攻击(例如 *** urf)。

漏洞扫描工具有哪些

5款实用的漏洞扫描工具：

1、SQLmap

Sqlmap属于渗透测试工具，但具有自动检测和评估漏洞的功能。该工具不只是简单地发现安全漏洞及利用漏洞的情况，它还针对发现结果创建了详细的报告。Sqlmap利用Python进行开发，支持任何安装了Python解释器的操作系统。它能自动识别密码哈希，并使用六种不同方式来利用SQL注入漏洞。此外，Sqlmap的数据库非常全面，支持oracle、PostgreSQL、MySQL、SqlServer和Access。

2、Nmap

Nmap是一款开源 *** 扫描工具，应用场景包括端口扫描、服务指纹识别以及操作系统版本识别。Nmap通常被视为 *** 映射及端口扫描工具，但因为其带有Nmap脚本引擎，也有助于对错误配置问题和安全漏洞进行检测。另外，Nmap具备命令行界面以及图形用户界面。

3、Nexpose

Nexpose社区是一个通用的开源漏洞评估工具，其漏洞引擎由Rapid7开发，扫描漏洞近68000个，进行了超过16.3万次 *** 检查。针对Windows及Linux系统的社区版免费，但仅限32个IP地址，以及一个用户。虽然没有Web应用程序扫描，但Nexpose覆盖自动漏洞更新以及微软补丁星期二漏洞更新。

4、Retina CS

Retina CS也是一个通用的开源漏洞评估工具。它是基于Web的控制台，可以免费简化并集中管理漏洞，可打补丁资产达到256项。Retina

CS能对服务器、工作站、移动设备、数据库、应用程序和Web应用程序自动进行漏洞评估。这款开源应用程序为VMware环境提供了全方位支持，包括在线与离线虚拟镜像扫描、虚拟应用程序扫描，以及与Vcenter集成。

5、Burp Suite

Burp

Suite免费版是开源的Web应用程序漏洞扫描器，该版本属于软件工具包，涵盖了对Web应用程序手动安全测试所需的所有东西。它可以使用拦截 *** ，针对浏览器和目标应用程序之间的流量进行检查与修改;还能利用可感知应用程序的Spider抓取应用程序的内容及功能;此外，使用中继器工具能够处理并重新发送单个请求，也可访问针对分析及解码应用程序数据的一系列实用程序。

polenum,可以获取哪些信息

目前，帐号仍然是最主要的用户身份认证方式，但由于安全意识的淡漠，很多人仍在使用弱口令。而一旦泄漏，所有安全防范机制都将形同虚设。

本课程《用户口令审计》是『Kali Linux工具大全』技术系列的第5部分。向大家详述Kali Linux中全部在线/离线弱口令审计工具的用法，以此来帮助大家提前发现自己系统中的弱口令问题。



用户口令审计工具介绍

1、crunch

在面对妥善保护的系统时，我们可能很难发现其漏洞和可渗透的突破口。作为渗透测试人员，此时应尝试对目标系统进行弱密码的检测。密码**成败的关键在于字典的质量，crunch是一个密码字典生成器，它可以灵活的按照规则生成定制的密码字典，为了方便使用，其内建了常用的字符集文件，并支持自定义密码构成元素。

2、wordlists / SecLists

在面对妥善保护的系统时，我们可能很难发现其漏洞和可渗透的突破口。作为渗透测试人员，此时应尝试对目标系统进行弱密码的检测，密码**成败的关键在于字典的质量。为了方便使用，Kali中已默认包含了大量通用密码字典，它们分别存放在wordlists、seclists两个目录之中。除密码字典之外，以上目录中还包含大量漏洞挖掘和Fuzz用途的字典文件。 hashid / hash-identifier

单向加密算法是将可变长度输入数据，加密生成固定长度的密文输出值，即所谓的HASH值。此加密算法通常被认为是不可逆的。但我们可以提前计算常见数据的HASH值，并利用其进行反查匹对应的明文，实现HASH**。由于HASH算法种类众多，因此需要hashid、hash-identifier来提前判断生成密文的HASH算法，以便查询对应明文。 findmyhash

单向加密算法是将可变长度数据，加密生成固定长度的密文输出值，即所谓的HASH值。此加密算法通常被认为是不可逆的。但有众多网站会提前计算常见数据的HASH值，并利用其进行反查匹对应的明文，以此实现HASH值**。findmyhash可在线查询多个站点的HASH值数据库，批量完成HASH值匹配的**，其新版本查询效果更佳。

3、 fcrackzip

存有机密数据的文件，经常会被其所有者加密压缩保存。而作为数据安全审计者，则应对加密文件进行弱口令检查，以确保数据安全性。fcrackzip是一款快速的ZIP压缩文件密码**工具，其支持基于字典和**的两种工作模式，同时其内建了字符集和密码规则指定功能，免去了使用者提前准备和保存密码字典文件的繁琐。

4、cupp3 / cewl / fab-cewl

由于人性与生俱来的弱点，使得弱口令成为很多系统都存在的安全问题，即使是那些安全防护较好的站点也不例外。作为渗透测试者，如果能够获得目标系统的密码，则无需繁琐的漏洞挖掘，即可直接接管目标系统。密码**的关键在于字典的命中率，cupp3可依据个人信息生成专属字典，cewl则通过收集企业信息生成专属字典。使用这些有针对性的字典，使得密码**的成功率更高。

5、 pwdump / samdump2

出于安全性的考虑，windows系统并不会保存用户账号的明文密码，而是以加密的形式存储于本机的SAM数据库中。不过密码虽为密文保存，但如果密码过于简单，仍然存在被**的可能性。在可以物理接触电脑的情况下，我们可以利用pwdump、samdump2来读取SAM数据库文件中的密文密码，然后再使用其他工具进行密码**。

6、chntpw

我有一个同事曾经受到电脑勒索，攻击者修改了他的系统账号密码，并要求他支付赎金。众所周知，出于安全性的考虑，windows系统并不会保存用户账号的明文密码，而是以加密的形式存储于本机的SAM数据库中。因此我们可以通过chntpw工具本地读取并修改SAM数据库，将账号密码清空，从而避免受到坏人的勒索。

7、 hydra

密码**可以分为在线**和离线**两种。所谓在线**，就是使用不同的密码向目标服务器发起重复的身份验证请求，然后根据服务器的反馈信息判断登陆是否成功。hydra是开源世界在线密码**工具中的王者，它不但支持常见的所有协议类型，同时也支持不同形式的WEB表单认证**。它功能强大，使用灵活简洁。

8、 pw-inspector

由于人性与生俱来的弱点，弱口令成为很多系统都存在的安全问题，即使是很多安全防护较好的站点也不例外。密码**的关键在于字典的命中率，如果你知道密码的字符构成规则，可以使用pw-inspector对已有密码字典进行过滤筛选，以便提高密码**的效率。pw-inspector不能凭空生成字典，它只是对现有字典的过滤筛选工具。

9、medusa

密码**分为在线**和离线**两种。所谓在线**，就是使用不同的账号密码重复向目标服务器提交身份验证请求，然后根据服务器的反馈信息判断登陆是否成功。medusa是开源世界在线密码**工具中的又一王者（与hydra齐名），它支持常见的所有协议类型，同时超高的稳定性是其更大的优势，是密码**领域的必备工具。

10、cmospwd

计算机开机后运行的之一个程序是POST，即加电自检程序。其检测到的硬件参数和使用者的设置参数都存储于cmos内存芯片中，这些配置参数中也包括cmos密码。在你不小心忘记了密码而无法修改硬件参数时，我们可以使用debug命令或comspwd工具清空或找回密cmos密码，其中cmospwd工具兼容众多BIOS生产厂商的产品，同时对某些品牌机的BIOS还有自动解锁的功能，是一个优秀的跨平台解密工具。

11、 gpp-decrypt

从windows server 2008开始，微软为其活动目录域新增加了20多项组策略首选项（gpp）设置，其中包括通过GPO统一修改客户端账号密码的功能。出于安全的考略，微软使用了强**的AES算法来加密下发的密码，但乌龙事件使得微软在其开发者网站上直接公布了该**，因此使得安全目标完全破灭。gpp-decrypt既是一个基于泄漏**，对加密密码进行解密还原的工具。

12、dbpwaudit

dbpwaudit是一个由java语言编写的数据库在线密码**工具，它只支持MSSQL、MySQL、DB2、Oracle等四种数据库类型。直到授课前我才发现，最新版的Kali Linux中已经不再包含此工具，因此现在我们必须手动下载才能使用这款工具。在审计不同数据库时，我们还需要单独下载相应数据库的JDBC驱动，才能使其正常工作。

13、 crowbar

crowbar是一个在线的密码**工具，与同为密码**工具的hydra、medusa相比，crowbar支持的协议类型十分有限（只有四种），但却个性十足。crowbar支持的认证**方式可以很好的弥补hydra、medusa的不足，它支持Openv*n以及基于**方式身份认证的SSH、VNC服务，可作为其他强大密码**工具的重要补充。

14、brutespray

渗透测试初期，我们总是会通过nmap进行主机发现、端口发现、服务发现等几个步骤，来确认可进行密码**的服务类型，然后再放出hydra、medusa等工具来实施**。过程中如果相关端口数量众多的话，我们就不得不笨拙的一个一个进行输入。brutespray可以自动读取和解析nmap的扫描报告，并从中识别出可进行密码**的服务类型，让后再自动调用medusa实施**，这将大大提高我们的工作效率。

15、polenum

为了保护信息安全，企业 *** 通常会制定密码策略，强制要求员工设置足够安全的系统账号密码。但人永远都是安全中最薄弱的环节，由于人性中与生俱来怕麻烦和懒惰等特性，大家总是趋向于给自己设置简单的弱口令。作为企业中的安全和审计人员，有责任发现并纠正密码策略失效的情况，polenum是一个正向的安全检查工具，它能够帮助我们高效快捷的进行操作系统的密码策略审计。

16、r *** angler

与通过挖掘漏洞来进行渗透相比，通过密码**来渗透目标的技术门槛相对较低，而且一旦成功其渗透行为也更加隐秘，因此密码**成为了渗透过程中不可缺少的重要步骤。密码**的成功关键在于密码字典的命中率，基于大多数人构造密码的习惯（姓名-生日-爱好等），r *** angler可以基于有限的个人信息，变形生成数量巨大的针对性专属密码字典，从而大大提高密码**的成功率。

17、 cachedump / lsadump

creddump工具集中包含了三个关于windows系统密码的**工具。cachedump针对域账号在本地计算机中的缓存身分验证信息，它可以还原这些缓存的认证信息，并结合其他离线**工具进行密码**。运气好的话，你可能会得到域管理员的密码！！lsadump则可以直接还原那些由操作系统记住的密码，比如登陆 *** 驱动器的密码、v*n密码、拨号密码、系统自动登陆密码等，由于可以还原出明文密码，因此lsadump被视为安全从业人员的必备工具。

18、pack

如果你认为自己学会了几个密码**软件，就可以自称专业人士的话，那只能说明你还是个小白。众所周知，根据目前计算机的运算能力，实现全键盘空间字符的密码**是不可能的。但如果能准确的分析密码构成规则，则完全可以在可接受的时间范围内，完成半数以上的密码**。Pack全称是密码分析**工具包，他通过分析已有字典的密码构成规则，使我们可以在最短的时间里更大限度的完成**密码。这是你成为密码**专业人士的必备一课。

19、ophcrack

众所周知，windows系统会将用户帐号的密码，经过单向加密之后保存在用户帐号数据库中。但由于加密算法公开通用，因此明文密码加密之后的密永远不变，这直接导致了密码碰撞**思路的产生，即攻击者先计算出全部明文对应的密文，再通过比对密文来**明文。ophcrack是一个基于彩虹表的windows密码**工具，同时其官网提供了大量现成的彩虹表下载，从而大大提高了密码的**效率。

20、 rainbowcrack

虽然单向加密算法通常被认为是不可能被**的，但黑客却找到了碰撞**的思路。即先计算出全部明文对应的密文，然后再通过比对密文来倒推明文的方式。在碰撞**的过程中计算明文对应密文的过程最耗时，因此有人提出了彩虹表的概念，将明文加密后对应的密文结果保存下来，以便日后重复使用，即彩虹表。rainbowcrack内含一套彩虹表的生成、优化、**工具，并支持众多加密算法，更可利用GPU提高运算速度。

21、 ncrack

ncrack是由nmap项目共同维护的在线密码**工具，因此其命令格式和参数的用法都与nmap命令非常相似，这无疑会大大降低新用户的学习成本，同时其模块化的架构使其可以满足更多应用场景的需求。虽然其名气并不很大，但从密码**能力方面来看，ncrack毫不逊色于同类的hydra、medusa等著名在线密码**工具，而且在速度和稳定性方面还有更加优异的表现。

22、maskprocessor

众所周知，根据目前计算机的运算能力，要实现全键盘空间字符的密码**是不可能实现的。因此更多情况下，我们都会采用基于字典的密码**方式，而此时字典的命中率则成为密码**成败的关键。为了构成命中率更高、更有针对性的密码字典，maskprocessor给我们提供了众多的规则选择，是我们自定义密码字典的首选利器。

23、sucrack

通常渗透测试者在通过应用程序漏洞获得系统shell之后，会发现自己拥有的只是普通用户帐号的权限，因此需要进一步的提权操作，将自己提升为root权限。su是所有linux系统都支持的用户切换命令，而切换过程中需要提供目标帐号的密码，因此我们可以利用此功能，使用不同的密码重复向系统进行身份验证，以此来实现密码的暴力**，sucrack即是自动实现这一过程的首选工具。

24、thc-pptp-bruter

为防止内部系统暴露在公网之上，很多公司会采用v*n的解决方式，而微软的MSChapV2则是v*n最广泛被采用的身份验证 *** 。不幸的是，微软系统的早期版本在实现身份验证的过程中存在漏洞，微软虽然为此发布了补丁，但并未彻底修复该漏洞，使得所有采用该身份验证方式的v*n都会遭受到密码的暴力**攻击。thc-pptp-bruter即是利用此漏洞，专门针对PPTP v*n进行密码**的工具之一。

24、patator

虽然hydra、medusa、ncrack等工具都是优秀的在线密码**工具，但仍然无法满足所有场景的**需求，因此在厌倦了以上所有工具之后，作者开发了patator。这是一款高度定制化的密码**工具，使用者可以按照当前实际场景，灵活定义**成功与否的判断依据，但也同时使其学习成本明显高于其他工具。同时patator还包涵部分在线枚举和离线密码**功能，使其成为一个综合型的密码**工具。

25、 hashcat

如果上天只允许我选择一个离线密码**工具的话，那么我的选择一定是hashcat。hashcat不但开源免费，而且它还是世界上速度最快的离线密码**工具。它提供多系统、多算法、多硬件平台、分布式等几乎全特性的功能支持，同时还支持OpenCL、CUDA等编程标准。目前hashcat已经实现了所有版本的合并统一，使得初学者无需再迷茫的寻找适合自己的软件版本，现在hashcat会自动检测你的CPU和GPU，从而更大限度的发挥你的计算能力。

26、sipcrack

利用廉价共享带宽的IP *** 承载实时语音通话的技术称为VoIP，SIP则是目前使用最广且接受度更高的VoIP信令协议。SIP是一种基于文本的信号控制协议，主要负责在客户端与服务期（PBX）间进行身份认证、会话建立和会话管理等工作。如果攻击者可以嗅探身份认证的通信过程，则可以利用sipcrack基于字典**其中的加密摘要信息。

27、oclGaussCrack

2009年震网病毒的出现，标志着***背景的武器化攻击程序已经走入现实。随后出现的火焰病毒再次证明， *** 空间的战争其实每天都在我们身边悄悄的进行。2011年出现的高斯病毒使用了与震网、火焰病毒相同的基础代码、软件建构以及与CC服务器的通信方式，种种迹象表明它们全部出自同一开发队伍。由于采用了高级加密方式，最初高斯病毒的payload无法解密，直到ocalgausscrack工具的出现。

28、mimikatz

最近安全社区的一篇文章评出了黑客最经常使用的5个工具，其中就包括本课的mimikatz，此工具堪称windows系统凭据收集领域的瑞士军刀，即在统一框架下集成了众多身材小巧且功能强大的工具 *** 。凭据包括账号密码、HASH、证书、令牌、cookie等众多类型的信息，一旦获取将可能完全控制目标系统。但由于该工具涉及过多的背景知识，因此几乎没有人能发挥其全部功能（一般只用两条命令），本课我竭尽所能向大家展示这个神一样的存在。

29、 PtH / WCE / xfreerdp

密码**是个耗时耗资源的事情，如果可以不必忍受这个煎熬的过程，相信每个渗透测试者都会兴奋不已。在密码**领域有一种称为Pass the Hash的攻击思路，即在已经获得密码密文的情况下，并不进行**，而是直接提交密文从而实现身份认证。其最典型的应用场景就是攻击Windows操作系统，windows早期版本的密码加密过程不加盐，因此很容易遭受PtH攻击。本课为大家介绍的PtH工具包共包含10个具体工具，分别适合在不同需求环境下使用。

30、Statsprocessor / hcstatgen

依靠现代计算机的运算能力，并不足以在可接受的时间范围内完成全键盘字符空间的密码**任务，这正是现代密码学仍然可以提供安全性的前提，因此纯暴力的密码**是不现实的，同样也使得基于密码字典的**方式成为普遍的选择。如何减小字典的体积，同时提高命中率是所有**者的共同目标。本课我重点向大家介绍“马尔科夫链”在密码**领域的实际应用，同时利用本课的两个工具，我们可以轻松生成接近真实的密码字典。

31、 John / Johnny / unshadow

John the Ripper是你必须掌握的一个离线密码**工具，它可以自动识别并解密200多种加密算法和应用。其功能之丰富强大，已经达到了令人震惊的程度，为了降低使用者的难度，John通过配置文件保存大部分常用参数，因此使用者并不会觉得太过复杂。它支持4种**模式，可以满足所有用户和场景的需要，强大的掩码和规则更可对现有密码字典进行丰富的变形，更大程度提高密码**成功率。Johnny是图形化界面的John。