弱密码检测JR!

时间:2021-08-17 05:32:18

1、JR(Joth the Ripper)简介
·一款密码分析工具,支持字典式的暴力破解
·通过对 shadow 文件的口令分析,可以检测密码
·官方网站:http://www.openwall.com/john/
2、安装 JR 工具
(1)tar 包解压
(2)进到解压后的 src 目录下,执行 make clean
(3)进到解压后的 run 目录下,执行命令

===========================================================

示例:扫描虚拟机内所有账号密码排出弱密码?重点找到john

导入john-1.8.0.tar.gz 包

[root@localhost ~]# ls              //查看是否已经导入好JR
john-1.8.0.tar.gz
[root@localhost ~]# tar -zxf john-1.8.0.tar.gz        //解压JR包
[root@localhost ~]# ls                 //查看是否解压好JR包
john-1.8.0   john-1.8.0.tar.gz

[root@localhost ~]# cd john-1.8.0/src            //进入src
[root@localhost src]# rpm -q gcc gcc-c++        //检测是否安装了gcc gcc-c++编辑器
未安装软件包 gcc 
未安装软件包 gcc-c++
[root@localhost src]# yum -y install gcc gcc-c++         //安装gcc gcc-c++编辑器

[root@localhost src]# make          //编译

[root@localhost src]# cd ../run       //进入run
[root@localhost run]# cp /etc/shadow ./shadow.txt       //复制./shadow.txt 到/etc/shadow下
[root@localhost run]# ls
ascii.chr     john.conf       mailer       password.lst  shadow.txt
digits.chr   lm_ascii.chr   makechr   relbench
[root@localhost run]# cd ../
[root@localhost john-1.8.0]# ls
doc  README  run   src
[root@localhost john-1.8.0]# cd
[root@localhost ~]# ls
john-1.8.0 john-1.8.0.tar.gz
[root@localhost ~]# cd john-1.8.0/
[root@localhost john-1.8.0]# ls
doc README run src
[root@localhost john-1.8.0]# cd src
[root@localhost src]# make clean linux-x86-64        //编辑清除linux-x86-64
...........

............
make[1]: 离开目录“/root/john-1.8.0/src”
[root@localhost src]# cd ../run
[root@localhost run]# ls
ascii.chr     john  lm_ascii.chr makechr   relbench  unafs  unshadow
digits.chr   john.conf  mailer   password.lst  shadow.txt  unique
[root@localhost run]# cp /etc/shadow ./shadow.txt
cp:是否覆盖"./shadow.txt"? y
[root@localhost run]# ./john shadow.txt        //运行shadow.txt文本,必须在run下否则运行执行失败
Loaded 3 password hashes with 3 different salts (crypt, generic crypt(3) [?/64])
Press 'q' or Ctrl-C to abort, almost any other key for status
123123 (roomx)
123123 (root)

0g 0:00:20:52 3/3 0g/s 242.7p/s 242.7c/s 242.7C/s 020867..022465
0g 0:00:20:54 3/3 0g/s 242.7p/s 242.7c/s 242.7C/s 033289..036936
Session aborted

[root@localhost run]# ./john --show shadow.txt             // 运行shadow.txt文本root:123123::0:99999:7:::
roomx:123123:18117:0:99999:7:::

2 password hashes cracked, 1 left

==========================================================

字典式暴力破解?

[root@localhost run]# vi password.lst              //查看字典内置密码及添加账号liu的密码为liuxiang

#!comment: This list has been compiled by Solar Designer of Openwall Project
#!comment: in 1996 through 2011. It is assumed to be in the public domain.
#!comment:
#!comment: This list is based on passwords most commonly seen on a set of Unix
#!comment: systems in mid-1990's, sorted for decreasing number of occurrences
#!comment: (that is, more common passwords are listed first). It has been
#!comment: revised to also include common website passwords from public lists
#!comment: of "top N passwords" from major community website compromises that
#!comment: occurred in 2006 through 2010.
#!comment:
#!comment: Last update: 2011/11/20 (3546 entries)
#!comment:
#!comment: For more wordlists, see http://www.openwall.com/wordlists/

liuxiang
123456
12345
password
password1
123456789
12345678
1234567890
abc123
computer
tigger
"password.lst" 3559L, 26325C

[root@localhost run]# useradd liu

[root@localhost run]# passwd liu

更改用户liu的密码

新的密码:liuxiang

重新输入新的密码:liuxiang

passwd:所有的身份验证令牌已经成功更新。

[root@localhost run]# ./john --wordlist=./password.lst ./liu.shadow.txt
Loaded 1 password hash (crypt, generic crypt(3) [?/64])
Press 'q' or Ctrl-C to abort, almost any other key for status
liuxiang (liu)
1g 0:00:00:00 100% 2.702g/s 259.4p/s 259.4c/s 259.4C/s liuxiang..pamela
Use the "--show" option to display all of the cracked passwords reliably
Session completed

[root@localhost run]#
$6$/.a9JMSut.7RkRDr$gE4JlVGP/uLDr7Zdd0v.NfVDOPAeKq1MemSCb90o5/ejAUR2FpKVzv7.14apHi1XnBPvd5YVqx3aBC5IPLOZ51:123123
$6$gy1Bp2K/$uPbPWAZ/6LFetymqgsUBxoMzWrDB6R9aa4kQBevp1CyuefwmWlMfyXyRkMzos/gjusr8i9/dK9bdMEdZIwK5i0:liuxiang

[root@localhost run]# :>john.pot              //清空破解记录
[root@localhost run]# cat john.pot           //查看破解记录

弱密码检测JR!的更多相关文章

  1. linux系统弱密码检测

    需要自备弱密码明文字典 from _utils.patrol2 import data_format,report_format,run_cmd import platform import cryp ...

  2. weblogic弱密码检测

    http://www.secbox.cn/hacker/tools/6252.html http://60.12.168.73:8088/console/login/LoginForm.jsp htt ...

  3. 安全篇:弱密码python检测工具

    安全篇:弱密码python检测工具 https://github.com/penoxcn/PyWeakPwdAudit

  4. [mysql]mysql弱密码字典检测

    1.如何定义弱密码 和用户名一致 连续字符 连续数字 空密码 2.生成弱密码字典 3.检测脚本 4.结果

  5. [原创]内网SSH密码爆破工具sshcrack(配合Cscan批量弱口令检测)

    0x000 前言 sshcrack是一个命令行下的SSH密码爆破工具,适用于内渗中SSH密码检测 当然也可用于外网SSH密码爆破,支持Windows/Linux,其它系统未测.Tip1 0x001 目 ...

  6. 我们通常这样使用Linux弱口令检测!

    在Internet环境中,过于简单的口令是服务器面临的最大风险,对于管理员来说,即使找出这些弱口令账号是非常必要的,这样便于采取进一步的安全措施. 这里的话,弱口令检测需要用到一款密码破译软件--Jo ...

  7. Linux服务器的弱口令检测及端口扫描

    一.弱口令检测--John the Ripper John the Ripper工具可以帮助我们扫描出系统中密码安全性较低的用户,并将扫描后的结果显示出来. 1.安装John the Ripper: ...

  8. IoT设备上的恶意软件——通过漏洞、弱密码渗透

    2018年,是 IoT 高速发展的一年,从空调到电灯,从打印机到智能电视,从路由器到监控摄像头统统都开始上网.随着5G网络的发展,我们身边的 IoT 设备会越来越多.与此同时,IoT 的安全问题也慢慢 ...

  9. SSH服务器拒绝密码检测

    这两天在配置Ubuntu 14.04的环境时,碰到一个典型的问题:在用xshell 连接Ubuntu时,显示"SSH服务器拒绝密码检测"的问题,在经过一系列配置修改后,最终怀疑是否 ...

随机推荐

  1. (二)cordova+framework7入门——笑笑APP

    [前言] framework7确实做的很赞,但是一直各种原因没有做什么app, 这个感觉就像大厨遇到百年难见的好材料,不炒个菜憋的慌, 机缘巧合周一周二两个晚上做了一个简单app,先看下效果: ios ...

  2. window对象;document对象;

    window对象: DOM:文档对象模型 --树模型文档:标签文档,对象:文档中每个元素对象,模型:抽象化的东西 一:window: 属性(值或者子对象):opener:打开当前窗口的源窗口,如果当前 ...

  3. SQL基础2

    create database fuxi --创建一个名为“fuxi”的数据库go                   --连接语句use fuxi   --使用名为“fuxi”的数据库gocreat ...

  4. sun.misc.BASE64Encoder我找不到jar一揽子解决方案

    1.合适的项目 --> 属性(Properties) --> java bulid path --> Libraries -> jre System Library(点加号在前 ...

  5. 201521123083《Java程序设计》第13周学习总结

    本次作业参考文件 正则表达式参考资料 1. 本周学习总结 以你喜欢的方式(思维导图.OneNote或其他)归纳总结多网络相关内容. 2. 书面作业 1. 网络基础 1.1 比较ping www.bai ...

  6. lua语言自学知识点----Lua与.Net相互调用

    知识点: LuaInterface作用是用来完成Lua与C#的相互调用. LuaInterface核心库:1.luainterface.dll 用于C#读取lua(放在bin目录同级) 2.luane ...

  7. nginx 中用 sed 批量增加配置文件内容

    #!/bin/bash confs=`ls /etc/nginx/conf.d/cms_vhosts/` cd /etc/nginx/conf.d/cms_vhosts for log in $con ...

  8. Spring <mvc:default-servlet-handler/>

    优雅REST风格的资源URL不希望带 .html 或 .do 等后缀.由于早期的Spring MVC不能很好地处理静态资源,所以在web.xml中配置DispatcherServlet的请求映射,往往 ...

  9. [development][suricata] linux下一代权限控制 capabilities

    读suricata源码过程中,  读到了 libcap-ng 应该就是anthroid手机,每次安装app时候, 询问的那个capablities.....吧.... 中文文档: http://rk7 ...

  10. 通俗易懂详解Java代理及代码实战

    一.概述 代理模式是Java常用的设计模式之一,实现代理模式要求代理类和委托类(被代理的类)具有相同的方法(提供相同的服务),代理类对象自身并不实现真正的核心逻辑,而是通过调用委托类对象的相关方法来处 ...

相关文章