暴力破解

适用情况

暴力无法有效抵抗 对于输入密码没有输入错误上上限等情况

使用暴力破解破解kali用户密码

首先使用主机远程控制kali(使用ssh协议)

使用的是xshell实现

image-20250806174128337

详细步骤:

打开kali虚拟机,在命令行输入

1
systemctl start ssh  #打开ssh服务
1
systemctl status ssh #运行ssh

image-20250806174611312

在这个状态下打开xshell

新建一个窗口 名称随意但是主机必须是所需要连接的虚拟机的IP地址

**注:**IP地址通过ifconfig查看

image-20250806174836119

然后连接成功之后输入用户名和密码即可

image-20250806175115658

出现如下画面即成功

image-20250806175141885

接下来在kali里利用自带的hydra进行暴力破解

1.在kali里创建一个密码字典(因为我们确认攻击的主机的用户名所以只需要密码字典)

image-20250806175421310

其中有一个是我们的正确密码

2.使用hydra开始暴力破解

image-20250806175736143

**注:**具体hydra语法可以使用hydra -help查看

使用暴力破解破解win10虚拟机的账户密码

使用远程控制在主机控制win10(rdp协议)

只需打开win10的远程控制即可

image-20250806181340904

在本机win+r输入mstsc 打开:image-20250806181501547

然后在虚拟机的cmd中输入ipconfig得到IP地址输入image-20250806181556974

因为我已经连过并且保存了用户名和密码直接连接成功 第一次需要用户名密码image-20250806181708422

使用hydra暴力破解

image-20250806182014028

结果是失败了 但是如果将密码本换成单个密码可以成功 像这样

image-20250806182116765

我怀疑可能因为Windows密码有试错上限 如果密码本数量再少一点可能可行 我依然使用的kali的密码包字典password.txt

使用弱口令破解工具

image-20250806182435738

使用方法超级简单 但是需要VC++ 2010 32位这个依赖

应用界面:

image-20250806182623908

假如使用他来破解我的kali

目标是IP地址 导入账户和导入密码就是自己创建两个字典 账号和密码 然后开始检查就行 记得要选择协议端口

kali远程控制是22端口 ssh

我创建的两个字典:

image-20250806183031403

导入开始检查 运行结果:

image-20250806183147126

成功 Windows同理

John工具

作用

不仅可以完成暴力破解弱口令等 还可以对各种哈希加密破解MD5 SHA-1等

操作演示(以MD5为例):

1.首先加密一串明文:123456 得到密文为E10ADC3949BA59ABBE56E057F20F883E

image-20250806183652833

2.写入kali的一个密码本中,再把明文写入一个字典

image-20250806183838929image-20250806183947306

3.使用John破解 注意使用的语法即可

image-20250806184211593