@Haggard
2年前 提问
1个回答

渗透测试中获取用户账号密码的方法有哪些

007bug
2年前

渗透测试中获取用户账号密码的方法有以下这些:

  • 利用目标主机的Finger功能:当用finger命令查询时,主机系统会将保存的用户资料显示到终端或者计算机上。这里的用户资料通常是一些用户名、登录时间等之类的。

  • 利用目标主机的X.500服务:有些主机没有关闭X.500的目录查询服务,这给攻击者也提供了一种获取信息的途径。

  • 从电子邮件中收集:有些用户的电子邮件地址经常透漏其在目标主机上的账号,而且由于许多的系统会使用一些习惯性账号,从而造成账号的泄露。所以大家千万不可一个密码多个账号共同使用,一定要每个账号设置不同密码,千万不要为了图省事,为以后的账号留下安全隐患。

  • 通过网络监听获取用户口令:这类方法危害性极大,虽然功能少,但是监听者往往采用中途拦截的方法,获取用户账号和密码,以往的很多协议都没有采用加密或者身份认证的技术,比如Telnet、FTP、HTTP、SMTP等传输协议中,用户账号和密码信息都是以明文的形式进行传输的,根本没有采用任何加密的技术,攻击者很容易利用数据包截取工具就可以收集到用户的账号和密码。

  • 知道用户账号后利用专门软件强行破解用户口令:这类方法不会受到网络限制,需要攻击者有足够的耐心和时间。比如采用暴力破解,来破解用户的密码,攻击者可以通过一些工具程序来自动从电脑字典中取出一个单词,作为用户的口令,再输入给远端的主机,申请进入系统。如果口令错误,则只需再一个一个尝试,直到输入正确为止。