目前，帳號仍然是最主要的用戶身份認證方式，但由于安全意識的淡漠，很多人仍在使用弱口令。而一旦泄漏，所有安全防范機制都將形同虛設。
本課程《用戶口令審計》是『Kali?Linux工具大全』技術系列的第5部分。向大家詳述Kali Linux中全部在線/離線弱口令審計工具的用法，以此來幫助大家提前發(fā)現(xiàn)自己系統(tǒng)中的弱口令問題。

用戶口令審計工具介紹

1、crunch
在面對妥善保護的系統(tǒng)時，我們可能很難發(fā)現(xiàn)其漏洞和可滲透的突破口。作為滲透測試人員，此時應嘗試對目標系統(tǒng)進行弱密碼的檢測。密碼破解成敗的關鍵在于字典的質量，crunch是一個密碼字典生成器，它可以靈活的按照規(guī)則生成定制的密碼字典，為了方便使用，其內(nèi)建了常用的字符集文件，并支持自定義密碼構成元素。?

2、wordlists / SecLists
在面對妥善保護的系統(tǒng)時，我們可能很難發(fā)現(xiàn)其漏洞和可滲透的突破口。作為滲透測試人員，此時應嘗試對目標系統(tǒng)進行弱密碼的檢測，密碼破解成敗的關鍵在于字典的質量。為了方便使用，Kali中已默認包含了大量通用密碼字典，它們分別存放在wordlists、seclists兩個目錄之中。除密碼字典之外，以上目錄中還包含大量漏洞挖掘和Fuzz用途的字典文件。?hashid / hash-identifier
單向加密算法是將可變長度輸入數(shù)據(jù)，加密生成固定長度的密文輸出值，即所謂的HASH值。此加密算法通常被認為是不可逆的。但我們可以提前計算常見數(shù)據(jù)的HASH值，并利用其進行反查匹對應的明文，實現(xiàn)HASH破解。由于HASH算法種類眾多，因此需要hashid、hash-identifier來提前判斷生成密文的HASH算法，以便查詢對應明文。?findmyhash
單向加密算法是將可變長度數(shù)據(jù)，加密生成固定長度的密文輸出值，即所謂的HASH值。此加密算法通常被認為是不可逆的。但有眾多網(wǎng)站會提前計算常見數(shù)據(jù)的HASH值，并利用其進行反查匹對應的明文，以此實現(xiàn)HASH值破解。findmyhash可在線查詢多個站點的HASH值數(shù)據(jù)庫，批量完成HASH值匹配的破解，其新版本查詢效果更佳。

3、?fcrackzip
存有機密數(shù)據(jù)的文件，經(jīng)常會被其所有者加密壓縮保存。而作為數(shù)據(jù)安全審計者，則應對加密文件進行弱口令檢查，以確保數(shù)據(jù)安全性。fcrackzip是一款快速的ZIP壓縮文件密碼破解工具，其支持基于字典和爆破的兩種工作模式，同時其內(nèi)建了字符集和密碼規(guī)則指定功能，免去了使用者提前準備和保存密碼字典文件的繁瑣。

?4、cupp3 / cewl / fab-cewl
由于人性與生俱來的弱點，使得弱口令成為很多系統(tǒng)都存在的安全問題，即使是那些安全防護較好的站點也不例外。作為滲透測試者，如果能夠獲得目標系統(tǒng)的密碼，則無需繁瑣的漏洞挖掘，即可直接接管目標系統(tǒng)。密碼破解的關鍵在于字典的命中率，cupp3可依據(jù)個人信息生成專屬字典，cewl則通過收集企業(yè)信息生成專屬字典。使用這些有針對性的字典，使得密碼破解的成功率更高。

5、?pwdump / samdump2
出于安全性的考慮，windows系統(tǒng)并不會保存用戶賬號的明文密碼，而是以加密的形式存儲于本機的SAM數(shù)據(jù)庫中。不過密碼雖為密文保存，但如果密碼過于簡單，仍然存在被破解的可能性。在可以物理接觸電腦的情況下，我們可以利用pwdump、samdump2來讀取SAM數(shù)據(jù)庫文件中的密文密碼，然后再使用其他工具進行密碼破解。?

6、chntpw
我有一個同事曾經(jīng)受到電腦勒索，攻擊者修改了他的系統(tǒng)賬號密碼，并要求他支付贖金。眾所周知，出于安全性的考慮，windows系統(tǒng)并不會保存用戶賬號的明文密碼，而是以加密的形式存儲于本機的SAM數(shù)據(jù)庫中。因此我們可以通過chntpw工具本地讀取并修改SAM數(shù)據(jù)庫，將賬號密碼清空，從而避免受到壞人的勒索。

7、?hydra
密碼破解可以分為在線破解和離線破解兩種。所謂在線破解，就是使用不同的密碼向目標服務器發(fā)起重復的身份驗證請求，然后根據(jù)服務器的反饋信息判斷登陸是否成功。hydra是開源世界在線密碼破解工具中的王者，它不但支持常見的所有協(xié)議類型，同時也支持不同形式的WEB表單認證破解。它功能強大，使用靈活簡潔。

8、?pw-inspector
由于人性與生俱來的弱點，弱口令成為很多系統(tǒng)都存在的安全問題，即使是很多安全防護較好的站點也不例外。密碼破解的關鍵在于字典的命中率，如果你知道密碼的字符構成規(guī)則，可以使用pw-inspector對已有密碼字典進行過濾篩選，以便提高密碼破解的效率。pw-inspector不能憑空生成字典，它只是對現(xiàn)有字典的過濾篩選工具。

?9、medusa
密碼破解分為在線破解和離線破解兩種。所謂在線破解，就是使用不同的賬號密碼重復向目標服務器提交身份驗證請求，然后根據(jù)服務器的反饋信息判斷登陸是否成功。medusa是開源世界在線密碼破解工具中的又一王者（與hydra齊名），它支持常見的所有協(xié)議類型，同時超高的穩(wěn)定性是其最大的優(yōu)勢，是密碼破解領域的必備工具。

?10、cmospwd
計算機開機后運行的第一個程序是POST，即加電自檢程序。其檢測到的硬件參數(shù)和使用者的設置參數(shù)都存儲于cmos內(nèi)存芯片中，這些配置參數(shù)中也包括cmos密碼。在你不小心忘記了密碼而無法修改硬件參數(shù)時，我們可以使用debug命令或comspwd工具清空或找回密cmos密碼，其中cmospwd工具兼容眾多BIOS生產(chǎn)廠商的產(chǎn)品，同時對某些品牌機的BIOS還有自動解鎖的功能，是一個優(yōu)秀的跨平臺解密工具。

11、?gpp-decrypt
從windows server 2008開始，微軟為其活動目錄域新增加了20多項組策略首選項（gpp）設置，其中包括通過GPO統(tǒng)一修改客戶端賬號密碼的功能。出于安全的考略，微軟使用了強密鑰的AES算法來加密下發(fā)的密碼，但烏龍事件使得微軟在其開發(fā)者網(wǎng)站上直接公布了該密鑰，因此使得安全目標完全破滅。gpp-decrypt既是一個基于泄漏密鑰，對加密密碼進行解密還原的工具。

?12、dbpwaudit
dbpwaudit是一個由java語言編寫的數(shù)據(jù)庫在線密碼破解工具，它只支持MSSQL、MySQL、DB2、Oracle等四種數(shù)據(jù)庫類型。直到授課前我才發(fā)現(xiàn)，最新版的Kali Linux中已經(jīng)不再包含此工具，因此現(xiàn)在我們必須手動下載才能使用這款工具。在審計不同數(shù)據(jù)庫時，我們還需要單獨下載相應數(shù)據(jù)庫的JDBC驅動，才能使其正常工作。

13、?crowbar
crowbar是一個在線的密碼破解工具，與同為密碼破解工具的hydra、medusa相比，crowbar支持的協(xié)議類型十分有限（只有四種），但卻個性十足。crowbar支持的認證破解方式可以很好的彌補hydra、medusa的不足，它支持OpenVPN以及基于密鑰方式身份認證的SSH、VNC服務，可作為其他強大密碼破解工具的重要補充。?

14、brutespray
滲透測試初期，我們總是會通過nmap進行主機發(fā)現(xiàn)、端口發(fā)現(xiàn)、服務發(fā)現(xiàn)等幾個步驟，來確認可進行密碼爆破的服務類型，然后再放出hydra、medusa等工具來實施破解。過程中如果相關端口數(shù)量眾多的話，我們就不得不笨拙的一個一個進行輸入。brutespray可以自動讀取和解析nmap的掃描報告，并從中識別出可進行密碼破解的服務類型，讓后再自動調用medusa實施破解，這將大大提高我們的工作效率。?

15、polenum
為了保護信息安全，企業(yè)網(wǎng)絡通常會制定密碼策略，強制要求員工設置足夠安全的系統(tǒng)賬號密碼。但人永遠都是安全中最薄弱的環(huán)節(jié)，由于人性中與生俱來怕麻煩和懶惰等特性，大家總是趨向于給自己設置簡單的弱口令。作為企業(yè)中的安全和審計人員，有責任發(fā)現(xiàn)并糾正密碼策略失效的情況，polenum是一個正向的安全檢查工具，它能夠幫助我們高效快捷的進行操作系統(tǒng)的密碼策略審計。

?16、rsmangler
與通過挖掘漏洞來進行滲透相比，通過密碼破解來滲透目標的技術門檻相對較低，而且一旦成功其滲透行為也更加隱秘，因此密碼破解成為了滲透過程中不可缺少的重要步驟。密碼破解的成功關鍵在于密碼字典的命中率，基于大多數(shù)人構造密碼的習慣（姓名-生日-愛好等），rsmangler可以基于有限的個人信息，變形生成數(shù)量巨大的針對性專屬密碼字典，從而大大提高密碼破解的成功率。

17、?cachedump / lsadump
creddump工具集中包含了三個關于windows系統(tǒng)密碼的破解工具。cachedump針對域賬號在本地計算機中的緩存身分驗證信息，它可以還原這些緩存的認證信息，并結合其他離線破解工具進行密碼破解。運氣好的話，你可能會得到域管理員的密碼！！lsadump則可以直接還原那些由操作系統(tǒng)記住的密碼，比如登陸網(wǎng)絡驅動器的密碼、VPN密碼、撥號密碼、系統(tǒng)自動登陸密碼等，由于可以還原出明文密碼，因此lsadump被視為安全從業(yè)人員的必備工具。

?18、pack
如果你認為自己學會了幾個密碼破解軟件，就可以自稱專業(yè)人士的話，那只能說明你還是個小白。眾所周知，根據(jù)目前計算機的運算能力，實現(xiàn)全鍵盤空間字符的密碼破解是不可能的。但如果能準確的分析密碼構成規(guī)則，則完全可以在可接受的時間范圍內(nèi)，完成半數(shù)以上的密碼破解。Pack全稱是密碼分析破解工具包，他通過分析已有字典的密碼構成規(guī)則，使我們可以在最短的時間里最大限度的完成破解密碼。這是你成為密碼破解專業(yè)人士的必備一課。

?19、ophcrack
眾所周知，windows系統(tǒng)會將用戶帳號的密碼，經(jīng)過單向加密之后保存在用戶帳號數(shù)據(jù)庫中。但由于加密算法公開通用，因此明文密碼加密之后的密永遠不變，這直接導致了密碼碰撞破解思路的產(chǎn)生，即攻擊者先計算出全部明文對應的密文，再通過比對密文來破解明文。ophcrack是一個基于彩虹表的windows密碼破解工具，同時其官網(wǎng)提供了大量現(xiàn)成的彩虹表下載，從而大大提高了密碼的破解效率。

20、?rainbowcrack
雖然單向加密算法通常被認為是不可能被破解的，但黑客卻找到了碰撞破解的思路。即先計算出全部明文對應的密文，然后再通過比對密文來倒推明文的方式。在碰撞破解的過程中計算明文對應密文的過程最耗時，因此有人提出了彩虹表的概念，將明文加密后對應的密文結果保存下來，以便日后重復使用，即彩虹表。rainbowcrack內(nèi)含一套彩虹表的生成、優(yōu)化、破解工具，并支持眾多加密算法，更可利用GPU提高運算速度。

21、?ncrack
ncrack是由nmap項目共同維護的在線密碼破解工具，因此其命令格式和參數(shù)的用法都與nmap命令非常相似，這無疑會大大降低新用戶的學習成本，同時其模塊化的架構使其可以滿足更多應用場景的需求。雖然其名氣并不很大，但從密碼破解能力方面來看，ncrack毫不遜色于同類的hydra、medusa等著名在線密碼破解工具，而且在速度和穩(wěn)定性方面還有更加優(yōu)異的表現(xiàn)。

?22、maskprocessor
眾所周知，根據(jù)目前計算機的運算能力，要實現(xiàn)全鍵盤空間字符的密碼破解是不可能實現(xiàn)的。因此更多情況下，我們都會采用基于字典的密碼破解方式，而此時字典的命中率則成為密碼破解成敗的關鍵。為了構成命中率更高、更有針對性的密碼字典，maskprocessor給我們提供了眾多的規(guī)則選擇，是我們自定義密碼字典的首選利器。

?23、sucrack
通常滲透測試者在通過應用程序漏洞獲得系統(tǒng)shell之后，會發(fā)現(xiàn)自己擁有的只是普通用戶帳號的權限，因此需要進一步的提權操作，將自己提升為root權限。su是所有l(wèi)inux系統(tǒng)都支持的用戶切換命令，而切換過程中需要提供目標帳號的密碼，因此我們可以利用此功能，使用不同的密碼重復向系統(tǒng)進行身份驗證，以此來實現(xiàn)密碼的暴力破解，sucrack即是自動實現(xiàn)這一過程的首選工具。?

24、thc-pptp-bruter
為防止內(nèi)部系統(tǒng)暴露在公網(wǎng)之上，很多公司會采用VPN的解決方式，而微軟的MSChapV2則是VPN最廣泛被采用的身份驗證方法。不幸的是，微軟系統(tǒng)的早期版本在實現(xiàn)身份驗證的過程中存在漏洞，微軟雖然為此發(fā)布了補丁，但并未徹底修復該漏洞，使得所有采用該身份驗證方式的VPN都會遭受到密碼的暴力破解攻擊。thc-pptp-bruter即是利用此漏洞，專門針對PPTP VPN進行密碼爆破的工具之一。

?24、patator
雖然hydra、medusa、ncrack等工具都是優(yōu)秀的在線密碼破解工具，但仍然無法滿足所有場景的破解需求，因此在厭倦了以上所有工具之后，作者開發(fā)了patator。這是一款高度定制化的密碼破解工具，使用者可以按照當前實際場景，靈活定義破解成功與否的判斷依據(jù)，但也同時使其學習成本明顯高于其他工具。同時patator還包涵部分在線枚舉和離線密碼破解功能，使其成為一個綜合型的密碼破解工具。

25、?hashcat
如果上天只允許我選擇一個離線密碼破解工具的話，那么我的選擇一定是hashcat。hashcat不但開源免費，而且它還是世界上速度最快的離線密碼破解工具。它提供多系統(tǒng)、多算法、多硬件平臺、分布式等幾乎全特性的功能支持，同時還支持OpenCL、CUDA等編程標準。目前hashcat已經(jīng)實現(xiàn)了所有版本的合并統(tǒng)一，使得初學者無需再迷茫的尋找適合自己的軟件版本，現(xiàn)在hashcat會自動檢測你的CPU和GPU，從而最大限度的發(fā)揮你的計算能力。?

26、sipcrack
利用廉價共享帶寬的IP網(wǎng)絡承載實時語音通話的技術稱為VoIP，SIP則是目前使用最廣且接受度最高的VoIP信令協(xié)議。SIP是一種基于文本的信號控制協(xié)議，主要負責在客戶端與服務期（PBX）間進行身份認證、會話建立和會話管理等工作。如果攻擊者可以嗅探身份認證的通信過程，則可以利用sipcrack基于字典破解其中的加密摘要信息。

?27、oclGaussCrack
2009年震網(wǎng)病毒的出現(xiàn)，標志著政府背景的武器化攻擊程序已經(jīng)走入現(xiàn)實。隨后出現(xiàn)的火焰病毒再次證明，網(wǎng)絡空間的戰(zhàn)爭其實每天都在我們身邊悄悄的進行。2011年出現(xiàn)的高斯病毒使用了與震網(wǎng)、火焰病毒相同的基礎代碼、軟件建構以及與CC服務器的通信方式，種種跡象表明它們?nèi)砍鲎酝婚_發(fā)隊伍。由于采用了高級加密方式，最初高斯病毒的payload無法解密，直到ocalgausscrack工具的出現(xiàn)。

?28、mimikatz
最近安全社區(qū)的一篇文章評出了黑客最經(jīng)常使用的5個工具，其中就包括本課的mimikatz，此工具堪稱windows系統(tǒng)憑據(jù)收集領域的瑞士軍刀，即在統(tǒng)一框架下集成了眾多身材小巧且功能強大的工具集合。憑據(jù)包括賬號密碼、HASH、證書、令牌、cookie等眾多類型的信息，一旦獲取將可能完全控制目標系統(tǒng)。但由于該工具涉及過多的背景知識，因此幾乎沒有人能發(fā)揮其全部功能（一般只用兩條命令），本課我竭盡所能向大家展示這個神一樣的存在。

29、?PtH / WCE / xfreerdp
密碼破解是個耗時耗資源的事情，如果可以不必忍受這個煎熬的過程，相信每個滲透測試者都會興奮不已。在密碼破解領域有一種稱為Pass the Hash的攻擊思路，即在已經(jīng)獲得密碼密文的情況下，并不進行破解，而是直接提交密文從而實現(xiàn)身份認證。其最典型的應用場景就是攻擊Windows操作系統(tǒng)，windows早期版本的密碼加密過程不加鹽，因此很容易遭受PtH攻擊。本課為大家介紹的PtH工具包共包含10個具體工具，分別適合在不同需求環(huán)境下使用。

?30、Statsprocessor / hcstatgen
依靠現(xiàn)代計算機的運算能力，并不足以在可接受的時間范圍內(nèi)完成全鍵盤字符空間的密碼破解任務，這正是現(xiàn)代密碼學仍然可以提供安全性的前提，因此純暴力的密碼破解是不現(xiàn)實的，同樣也使得基于密碼字典的破解方式成為普遍的選擇。如何減小字典的體積，同時提高命中率是所有破解者的共同目標。本課我重點向大家介紹“馬爾科夫鏈”在密碼破解領域的實際應用，同時利用本課的兩個工具，我們可以輕松生成接近真實的密碼字典。

31、?John / Johnny / unshadow
John the Ripper是你必須掌握的一個離線密碼破解工具，它可以自動識別并解密200多種加密算法和應用。其功能之豐富強大，已經(jīng)達到了令人震驚的程度，為了降低使用者的難度，John通過配置文件保存大部分常用參數(shù)，因此使用者并不會覺得太過復雜。它支持4種破解模式，可以滿足所有用戶和場景的需要，強大的掩碼和規(guī)則更可對現(xiàn)有密碼字典進行豐富的變形，最大程度提高密碼破解成功率。Johnny是圖形化界面的John。