大家好！今天我們講暴力破解，有人可能會有疑惑，密碼到底設置得多複雜才算是安全，其實這就像是問，是先有的雞還是先有的蛋，都是沒有确切的答案的，理論上說無論你密碼設置的多麼複雜，都有可能被破解，這主要看的就是密碼字典的大小，我曾經見到過一個28G的密碼字典，如果再配合上暴力破解工具，我想密碼破解隻是時間的問題吧。

因此今天我們不講如何設置密碼，我們就講講這些暴力破解工具的使用，以便我們理解暴力破解的原理，進而制定更加安全合理的防暴力破解的策略，下面我們言歸正傳。

hydra（海德拉），是世界頂級的密碼破解工具，支持幾乎所有協議的在線密碼破解，功能十分強大，我前邊也說過了，暴力破解的成功與否，主要取決于字典的大小，擁有一個全面而強大的字典，對于暴力破解的成功有非常大的影響。

hydra

首先hydra是集成在kali裡邊的，我們打開虛拟機，運行kali，打開終端，在終端中輸入“hydra -h”回車，就可以查看hydra的幫助信息，如下圖所示：

hydra幫助

下面我們介紹幾個常用的參數：

“-l”表示login，後邊跟指定的用戶名，“-L”也是login，不過後邊跟的是文件，也就是用戶名的字典；

“-p”表示password，後邊跟指定的密碼，“-P”也是password，後邊跟文件，同上邊一樣，也就是密碼字典；

“-M”後邊跟目标文件，也就是保存了所有拟破解地址的文件；

“-o”表示将我們破解成功的用戶名和密碼等信息保存到指定文件裡邊。

我們再看看hydra給我們舉的幾個例子，如下圖所示：

hydra -l user -P password.txt ftp://192.168.0.1

表示破解指定用戶user的密碼，使用的服務為ftp，地址為：ftp://192.168.0.1。

hydra -L userlist.txt -p defaultpw imap://192.168.0.1/PLAIN

表示破解使用密碼defaultpw的用戶，使用的郵箱服務，登錄地址為：imap://192.168.0.1/PLAIN。

hydra -l admin -p password ftp://[192.168.0.0/24]/

表示在192.168.0.0/24這個地址段内，破解使用用戶名為admin，密碼為password的ftp登錄地址。

hydra -L logins.txt -P password.txt -M targets.txt ssh

表示破解目标字典targets.txt文件裡邊的登錄密碼，其中用戶字典為logins.txt文件，密碼字典為password.txt文件，使用的服務為ssh。

Medusa（美杜莎），是一款速度快，支持大規模并行，模塊化的爆破登錄工具，可以同時對多個主機的用戶名密碼進行暴力破解，相比于hydra穩定性比較好，但是支持的模塊少一些。

medusa

我們也可以在kali終端輸入“medusa -h”來查看幫助信息，如下圖所示：

medusa幫助信息

“-h”後邊跟主機地址或者IP地址，“-H”跟主機或IP地址字典文件；

“-u”後跟指定用戶名，“-U”跟用戶名字典文件；

“-p”後跟指定密碼，“-P”跟密碼字典文件。

“-M”跟模塊名稱，例如：ssh等；

“-t”表示線程數。

舉個例子：

medusa -H targets.txt -U userlist.txt -P password.txt -M ssh

表示使用用戶字典userlist.txt和密碼字典password.txt破解主機字典裡的主機ssh登錄的用戶名和密碼。

也是一種集成在kali裡的破解工具，不多說了，我們也可以輸入“patator -h”查看它的幫助信息，如下圖所示：

patator幫助信息

與上面兩款工具不同的是，它直接給出各個模塊的用法，例如：ftp、ssh、http、pop、imap、mssql和oracle等。

如果我們想看具體某個模塊的使用方法，我們可以輸入“patator ssh_login --help”來查看幫助信息，如下圖所示：

ssh_login幫助信息

他給了我們一個非常直觀的例子：

patator ssh_login host=10.0.0.1 user=root password=FILE0 0=password.txt

host後跟主機名，user後跟用戶名，password後跟密碼，當然也都可以跟字典文件，就比如“password=FILE0 0=password.txt”一樣，如果用戶名也是一個字典文件那麼就可以寫成“user=FILE1 1=userlist.txt”。

1.對于多餘用戶要及時删除。

2.注意密碼的複雜性。大小寫字母 數字 特殊字符 8位以上 定期更換。

3.修改默認用戶和密碼。

4.使用驗證登錄。包括圖片驗證碼、短信驗證碼等。

5.使用錯誤登錄次數限制設置。比如錯誤登錄3次，限值登錄10分鐘等。

6.其他限制。比如限制指定MAC地址或者IP地址的主機登錄。

以上就是Web滲透測試——密碼暴力破解工具的使用的全部内容，感謝大家的閱讀，大家學習到知識不要做違法的事情，我們的目的是提高大家的滲透測試技術，幫助大家更好地做好網絡安全防護，法律的底線一定不要碰，歡迎大家關注@科技興了解更多科技尤其是網路安全方面的資訊和知識。