“黑客”必用兵器之“密码口令破解篇”

2. 强度较高的密码或者多重密码口令认证的方式如何破解?

• 遍历攻击：对于以上所有步骤都无法破解的密码，就只能采取遍历破解的方法了。使用单个CPU可能会非常慢，但如果使用僵尸网络，ASIC，高速GPU阵列等方式将破解速度提升1000倍以上。采用遍历攻击的暴力破解方式也要运用策略，比如某网站要求密码长度必须大于8位，我们应尽量只使用8个字符进行破解以节省时间;或者网站要求密码必须以大写字母开头，我们可以在规则中强制指定字符集
• 击键记录：如果用户密码较为复杂，那么就难以使用暴力穷举的方式破解，这时黑客往往通过给用户安装木马病毒，设计"击键记录"程序，记录和监听用户的击键操作，然后通过各种方式将记录下来的用户击键内容传送给黑客，这样，黑客通过分析用户击键信息即可破解出用户的密码。
• 屏幕记录：为了防止击键记录工具，产生了使用鼠标和图片录入密码的方式，这时黑客可以通过木马程序将用户屏幕截屏下来然后记录鼠标点击的位置，通过记录鼠标位置对比截屏的图片，从而破解这类方法的用户密码。
• 网络嗅探器：在局域网上，黑客要想迅速获得大量的账号(包括用户名和密码)，当信息以明文的形式在网络上传输时，便可以使用网络监听的方式窃取网上的传送的数据包。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。任何直接通过HTTP、FTP、POP、SMTP、TELNET协议传输的数据包都会被网络监听程序监听。
• 网络钓鱼："网络钓鱼"攻击利用欺骗性的电子邮件和伪造的网站登陆站点来进行诈骗活动，受骗者往往会泄露自己的敏感信息(如用户名、口令、帐号、PIN码或信用卡详细信息)，网络钓鱼主要通过发送电子邮件引诱用户登录假冒的网上银行、网上证券网站，骗取用户帐号密码实施盗窃。
• 远程控制：使用远程控制木马监视用户本地电脑的所有操作，用户的任何键盘和鼠标操作都会被远程的黑客所截取。

三、黑客常用的密码破解工具有哪些?

1. Wfuzz

这款破解工具是一个web应用密码暴力破解工具，它不仅可以用来破解密码还可以用来查找隐藏的资源，由于现在很多人为了防止自己的网站被人篡改，就会将目录页和脚本代码进行隐藏，有了这个工具，找到这些那都不是问题。

除了可以查找隐藏资源和破解密码，它更能识别web应用中不同的注入内容，比如说SQL注入、LDAP注入等等，还有很多类型了。

2. Brutus

最早发布于2000年的Brutus是目前最流行的远程在线密码破解工具，号称是当今最快最灵活的密码破解工具。目前该工具免费，但只有windows版本。Brutus支持HTTP、POP3、FTP、SMB、Telnet、IMAP、NNTP、NetBus等各种网络协议，而且支持多步认证引擎，可以并发攻击60个目标。

3. RainbowCrack

（编辑：PHP编程网 - 湛江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!