一、闲谈(可略过) 上一篇文章就是典型的社会工程学密码穷举攻击,但是对方的安全意识太差,所以我没费多长时间就把密码试出来了。当对方使用安全性更高的密码时,手动穷举就显得独木难支了一些。密码的创建和自己的信息有关,这是任何人都无法避免的。这时,社工师很可能就会收集你的名字,你的生日,你的昵称,你的账号来组成各式各样的密码进行穷举攻击。Cupp是一款用Python语言写成的可交互性的字典生成脚本。它和普通的字典生成脚本不同,它生成的范围更小,更具体,使得生成的密码字典更有攻击性,且大大缩短了穷举时间。 二、安装过程 首先打开终端,输入命令:apt-get install cupp,下载完毕后会自动安装。 安装完成后,输入cupp即可打开CUPP的命令使用界面。 参考说明: -h 查看参数列表 -i 使用交互式的提问创建用户密码字典 -w 在现有字典上进行加工 -l 下载来自repository的巨大的密码列表 -a 直接从alecto db分析默认用户名和密码,可合并可增强 -v 查看版本号 三、使用方法 打开终端,输入命令:cupp -i,开始生成字典。假设我们现在的攻击对象叫张三,下面是他本人的一些信息。 姓名:张三 昵称:三三 生日:20190707 家人:王五 昵称:五五 生日:20190706 孩子:赵六 昵称:六六 生日:20190705 公司:菜弱坤 宠物:菜强坤 将所有信息完善好,注意,firstname是名不是姓,surname是姓。 这里有几个Y/N的选择来加强你要生成的密码字典: 是否给生成的字典添加一些关键字:是 520,521,888,666 是否在生成的字典末尾加特别字符:是 520,521,666,888 是否在生成的字典末尾加随机数:否 (在这里我只添加了数字进行演示,其实还可以添加字母字符等,具体情况具体分析即可) 在终端输入命令:more san.txt,开始读取密码字典。 PS:后台回复:kaohe即可获取考核相关信息,通过考核的童鞋即可被邀加入教学群,并获取大量学习资源。月末群内直播授课(含实战)! 转载需标注:华北平原久哥,侵权必究。 ---------------------------------------------------------------------------------------------------------------------- 我们尊重原创,也注重分享,文章来源于微信公众号:华北平原久哥,建议关注公众号查看原文。如若侵权请联系qter@qter.org。 ---------------------------------------------------------------------------------------------------------------------- |