弱口令到底是什么牛马？

很多系统管理员会选择容易记住的口令或在系统测试时用的弱口令没有删除，并且在一些系统，在注册时，会提示一些规则，比如密码的长度、必须是大小写字母数字组合等，这就给爆破系统提供了机会。一旦暴力破解了账号和口令，就可以登陆管理系统和终端，将会带来很大的危害。

需要文档的关注我，私信回复“资料”即可获取

想要爆破系统，我们要先找到网站后台登录入口。我们可以通过以下方法查找：

常用后台管理字典（一位大佬的分享），用过之后觉得还是很精确的：

很多人为了记住密码，经常把自己的生日、手机号、姓名简拼、姓名全拼、英文名、用户名、手机号、QQ号、男女朋友的姓名等组合成密码。我们可以收集这些信息，然后生成字典，进行爆破。

下面两个在线网站可以帮我们生成字典：

对于收集公司的信息，我们可以到这些网站查询：

对于企业的信息，我们尽量收集到企业的英文名、企业中文名拼音、企业域名、简写/缩写、企业的各种品牌名、注册日期、注册地等，然后利用这些信息生成字典。

贵在平时，我们平时要经常收集使用频率高的字典，像phpmyadmin、tomcat等常见后台常用密码，对于各种安全设备的默认密码

设备

默认账号

默认密码

深信服产品

sangfor

sangfor sangfor@2018 sangfor@2019

深信服科技 AD

dlanrecover

深信服负载均衡 AD 3.6

admin

admin

深信服WAC ( WNS V2.6)

admin

admin

深信服VPN

Admin

Admin

深信服ipsec-VPN (SSL 5.5)

Admin

Admin

深信服AC6.0

admin

admin

SANGFOR防火墙

admin

sangfor

深信服AF(NGAF V2.2)

admin

sangfor

深信服NGAF下一代应用防火墙(NGAF V4.3)

admin

admin

深信服AD3.9

admin

admin

深信服上网行为管理设备数据中心

Admin

密码为空

SANGFOR_AD_v5.1

admin

admin

网御漏洞扫描系统

leadsec

leadsec

天阗入侵检测与管理系统 V7.0

Admin

venus70

Audit

venus70

adm

venus70

天阗入侵检测与管理系统 V6.0

Admin

venus60

Audit

venus60

adm

venus60

网御WAF集中控制中心(V3.0R5.0)

admin

leadsec.waf

audit

leadsec.waf

adm

leadsec.waf

联想网御

administrator

administrator

网御事件服务器

admin

admin123

联想网御防火墙PowerV

administrator

administrator

联想网御入侵检测系统

lenovo

default

网络卫士入侵检测系统

admin

talent

网御入侵检测系统V3.2.72.0

adm

leadsec32

admin

leadsec32

联想网御入侵检测系统IDS

root

111111

admin

admin123

科来网络回溯分析系统

csadmin

colasoft

中控考勤机web3.0

administrator

123456

H3C iMC

admin

admin

H3C SecPath系列

admin

admin

H3C S5120-SI

test

123

H3C智能管理中心

admin

admin

H3C ER3100

admin

adminer3100

H3C ER3200

admin

adminer3200

H3C ER3260

admin

adminer3260

H3C

admin

adminer

admin

admin

admin

h3capadmin

h3c

h3c

360天擎

admin

admin

网神防火墙

firewall

firewall

天融信防火墙NGFW4000

superman

talent

黑盾防火墙

admin

admin

rule

abc123

audit

abc123

华为防火墙

telnetuser

telnetpwd

ftpuser

ftppwd

方正防火墙

admin

admin

飞塔防火墙

admin

密码为空

Juniper_SSG__5防火墙

netscreen

netscreen

中新金盾硬件防火墙

admin

123

kill防火墙(冠群金辰)

admin

sys123

天清汉马USG防火墙

admin

venus.fw

Audit

venus.audit

useradmin

venus.user

阿姆瑞特防火墙

admin

manager

山石网科

hillstone

hillstone

绿盟安全审计系统

weboper

weboper

webaudit

webaudit

conadmin

conadmin

admin

admin

shell

shell

绿盟产品

nsfocus123

TopAudit日志审计系统

superman

talent

LogBase日志管理综合审计系统

admin

safetybase

网神SecFox运维安全管理与审计系统

admin

!1fw@2soc#3vpn

天融信数据库审计系统

superman

telent

Hillstone安全审计平台

hillstone

hillstone

网康日志中心

ns25000

ns25000

网络安全审计系统（中科新业）

admin

123456

天玥网络安全审计系统

Admin

cyberaudit

明御WEB应用防火墙

admin

admin

admin

adminadmin

明御攻防实验室平台

root

123456

明御安全网关

admin

adminadmin

明御运维审计与册风险控制系统

admin

1q2w3e

system

1q2w3e4r

auditor

1q2w3e4r

operator

1q2w3e4r

明御网站卫士

sysmanager

sysmanager888

亿邮邮件网关

eyouuser

eyou_admin

eyougw

admin@(eyou)

admin

±ccccc

admin

cyouadmin

Websense邮件安全网关

administrator

admin

梭子鱼邮件存储网关

admin

admin

当我们没有收集到有用的信息，这些平时收集到的字典就有很大的作用了。

如果平时没有总结，渗透测试时建议百度吧！百度是个很强大的工具！

常用爆破工具：

以上是我常用的，当然爆破工具还有很多，平时我们要自己收集，一些不错的脚本我们也可以收集，用得顺手就行

弱口令带来的危害很大，我们现在进入系统，很大部分来源于弱口令，我们要注意。对于防范措施，网上百度一大堆，我就不放在上面写了，希望这篇文章对你有帮助。