前言:
在浸透测试中,针对各项服务(FTP、RDP 等)的爆破往往是繁琐的,一款好用的爆破工具,能够进步浸透测试的效率,超级弱口令查看工具(作者 shack2)反对很多服务的爆破, 反对批量导入爆破。
本人常常应用的是 Metasploit 里各个模块,超级弱口令查看工具应用起来相对来说简略便当些,windows 下就能够间接应用。
我的项目地址:
https://github.com/shack2/SNE…
文末获取云盘下载地址
1. 工具介绍
超级弱口令查看工具是一款 Windows 平台的弱口令审计工具,反对批量多线程查看,可疾速发现弱明码、弱口令账号,明码反对和用户名联合进行查看,大大提高成功率,反对自定义服务端口和字典。
工具采纳 C# 开发,须要装置.NET Framework 4.0,工具目前反对 SSH、RDP、SMB、MySQL、SQLServer、Oracle、FTP、MongoDB、Memcached、PostgreSQL、Telnet、SMTP、SMTP_SSL、POP3、POP3_SSL、IMAP、IMAP_SSL、VNC、Redis 等服务的弱口令查看工作。
其余依赖:查看 SSH 须要装置 VC++2010 32 位。
工具特点:
1. 反对多种常见服务的口令破解,反对 Windows 账户弱口令查看(RDP(3389)、SMB)。
2. 反对批量导入 IP 地址或设置 IP 段,同时进行多个服务的弱口令查看。
3. 程序自带端口扫描性能,能够不借助第三方端口扫描工具进行查看。
4. 反对自定义查看的口令,自定义端口。
其余阐明查看下载文件夹 readme.txt 和使用手册
2. 工具界面
3. 局部性能应用展现
(1)爆破 FTP 服务
(2) 爆破 PostgreSQL 数据库
注:踩坑,当爆破服务不是惯例端口,需在设置里更改端口,去点勾选“扫描端口”。
4. 注意事项
4.1. 邮箱弱口令(smtp/pop3/imap)
查看邮箱弱口令时,局部邮箱零碎须要填写邮箱后缀进行登录,如果查看邮箱呈现一个账号都没有胜利的状况,能够在账户后缀外面增加邮箱后缀在查看,例如(@mail.baidu.com)。
4.2.SSH 查看注意事项
1. 某些 SSH 可能因为服务器没做 SSH DNS 优化,单次登录要 5 -10 秒工夫,所以倡议延时设置为大于 10 秒,否则可能因为超时无奈检测。
2. 当查看 SSH 出现异常时“Could not load file or assembly‘ChilkatDotNet4.dll’or one of its dependencies. 找不到指定的模块。”,请装置 32 位 vc++ 2010。
4.3.RDP 查看注意事项
线程倡议不要超过 10 个,否则容易解体。
4.4.SMB 查看
查看 SMB 服务个别须要凋谢 445 端口,如果须要查看域账号弱口令,须要在用户名后面加上“域名称 \”。相似“dc\administrator”。
4.5.RDP 兼容问题
为了 RDP 兼容更广,2019-03-23 版本批改了 RDP DLL 版本,采纳 win7 平台 DLL,反对 Win7 或 Server08 以上零碎应用,反对任意 Windows 操作系统的 RDP 登陆查看。
之前版本因为连贯加密问题只能反对 server 03 和局部 Server 08。如果你要在 Server 03 或 Xp 上运行此工具,并且要应用 RDP 查看,请下载 2019-03-22 版本,2019-03-23 当前版本,RDP 不在反对。
本文由 mdnice 多平台公布