网站首页 • 包含标签 密码 的所有文章
-
后台登陆页面的渗透思路
万能密码/弱口令 先拿'or'='or'试一下,再试一下弱口令 遇到网络设备,基本像交换机、路由器、安全设备之类的,可以尝试一下默认密码 天融信防火墙,不需要证书 登录地址:https://192.168.1.254 用户名:superman 密码:talent 技术支持热线:8008105119 天融信防火墙,不需要证书 登录地址:https://192.168.1.254:8080 用户名:superman 密码:talent!23 遇到设备需要把旧设备配置备份下来,再倒入新设备基于console口登陆,用户名,密码跟web界面一致 system config reset 清除配置 save 保存 联想网御防火墙,需要证书(最好用IE浏览器登录) 登录地址:https://10.1.5.254:8889 用户名:admin 密码:leadsec@7766、administrator、bane@7766 技术支持热线:4008107766 010-56632666深信服防火墙(注安全设备管理地址不是唯一的) https://10.251.251.251https://10.254.254.254 用户名:admin 密码:admin 技术支持热线:4006306430 启明星辰 https://10.1.5.254:8889 用户名:admin 密码:bane@7766https://10.50.10.45:8889 用户名:admin 密码:admin@123 电脑端IP:10.50.10.44/255.255.255.0 技术支持热线:4006243900 juniper 登录地址:https://192.168.1.1 用户名:netscreen 密码:netscreen Cisco 登录地址:https://192.168.0.1 用户名:admin 密码:cisco Huawei 登录地址:http://192.168.0.1 用户名:admin 密码:Admin@123 H3C 登录地址:http://192.168.0.1 用户名:admin 密码:admin 技术支持热线:4006306430 绿盟IPS https://192.168.1.101 用户名: weboper 密码: weboper 配置重启生效网神防火墙GE1口 https://10.50.10.45 用户名:admin 密码:firewall 技术支持热线:4006108220 深信服VPN: 51111端口 delanrecover 华为VPN:账号:root 密码:mduadmin 华为防火墙: admin Admin@123 eudemon eudemon Juniper防火墙: netscreen netscreen 迪普 192.168.0.1 默认的用户名和密码(admin/admin_default) 山石 192.168.1.1 默认的管理账号为hillstone,密码为hillstone 安恒的明御防火墙 admin/adminadmin 某堡垒机 shterm/shterm 天融信的vpn test/123456 使用burp弱口令爆破 使用Burp里的Intruder功能进行爆破,如何使用请看:如何使用FOFA挖到弱口令漏洞 扫目录 目录扫描也是一个存在惊喜的地方,说不定能扫描到后台未授权访问的链接、备份文件、编辑器、敏感信息等。 像后台登陆的网址看多了,常规的路径像www.xxx.com/admin/login.aspx(.php)老司机甚至不用御剑什么的工具跑,就能直接猜到。 一般碰到下面这种情况,可采用fuzz大法。一层一层fuzz,尝试寻找可利用的信息。 框架漏洞 1. 对一些CMS,已经比较成熟了,漏洞确实不好挖。如果网上(乌云,seebug,搜索引擎等)的历史漏洞没有复现成功,那一般情况下就只能寻找下逻辑漏洞、网站管理员配置错误或者弱口令什么的。 2. 对于一些不知名的框架,一般也可通过登陆界面底下的声明中找到开发公司和产品版本时间。 3. 在网上找找此公司产品是否爆出过漏洞。若是开源的框架,还可下载源码进行代码审计寻找漏洞。像java的站,登陆页面是.do或.action的网址。可尝试下 struts2 命令执行漏洞。 4. 又如thinkphp的CMS,可尝试下是否存在相应版本的命令执行漏洞。 逻辑漏洞 任意用户注册 注册用户不需验证码认证即可注册成功的情况下,可使用工具发包,恶意批量注册用户。 修改发送包邮箱尝试覆盖注册 1. 注册时显示某用户已注册; 2. 在注册新用户时抓包,更改自己的账号信息为admin用户; 3. 可能可以覆盖admin用户,重新注册成功。 任意密码重置 修改密码时使用其他人的手机号,可抓包更改成自己的手机号。自己手机收到验证信息并输入,可更改他人密码成功。 跳过验证 跳过验证步骤、找回方式,直接到设置新密码页面 短信轰炸 短信轰炸,一般人可能抓包重放失败后就放弃了。这里有个技巧 发送短信处一般每隔60秒才能发送一次 但若是发包时在手机号后加上一个空格、加号或换行符等特殊字符。然后重新发送,这时若发送成功,则说明可绕过限制。 此时在intruder模块只要持续递增空格就可造成无限短信轰炸 越权 越权访问目录 可越权访问到后台路径,网站组件配置文件,备份文件等,当然扫目录字典也要好。 修改身份标识 更改成功登陆的用户的身份标识,可能就能越权访问到其他用户的页面。 抓返回包 在登陆时返回包可能返回用户敏感信息,此时改一改参数说不定还能越权查到其他用户信息。 或注册、找回密码发送短信邮箱时,可能直接返回验证码等 在返回包里,更改下参数为true、success、1,可能就能未授权进入后台 看网站源码信息 当你思路枯竭的时候不妨看看源码,它是一块宝藏,说不定就能在里面发现惊喜。有些程序员会把后台的功能链接放在前端源码中,说不定就存在未授权访问,甚至有些奇葩程序员在前端代码存放测试的账号密码。 声明: 作者的初衷是分享与普及网络安全知识,若读者因此做出任何违法行为,后果自负,与原作者无关。 ...
-
腾讯视频会员账号共享
我们保证每天分享的帐号都是真实并且可以登录的,成功登录帐号的请不要随意更改密码,将方便留给大家。 账号:17315692 密码:gfWIDmL4yQgi 账号:648156921 密码:Z7rTFk 账号:6591569211 密码:EgWqGim 账号:3231569205 密码:wV5T9Rl6b 账号:55015692 密码:OBl1Ad13FgW 账号:1581569202 密码:Dq02SCOhuLctyIr 账号:23715692086 密码:gcgNIDnaD 账号:32615692 密码:oxzHuYZLJ 账号:94815692 密码:KhPahr4VIBX 账号:91156920624 密码:buRXiHZe9tRQ 账号:316156921191 密码:wTsV72dDBVg 账号:2851569204841 密码:kedekciUrnm2H ...
-
迅雷超级白金账号分享
我们保证分享的帐号都是真实并且可以登录的,成功登录帐号的请不要随意更改密码,将方便留给大家。 账号:5601569031 密码:bTL9dtqII 账号:762156903 密码:iAkzleAmCajw 账号:651156903 密码:znwTSzwGZO8N3 账号:2971569037735 密码:7mG1NUF4EFcxJbd 账号:61615690354 密码:FSxXgx2qfPg4 账号:1671569037 密码:NHrZPc 账号:675156904 密码:DlNq3IBdqGPrZr 账号:941569034208 密码:TgxVEr8mqD3 账号:3491569033377 密码:kSAXFd 账号:884156903334 密码:1vqng5Ps2y 账号:992156904 密码:O80zDXnJ 账号:580156903 密码:90Uzxq7 账号:520156903969 密码:gBLIzP0gXEY 账号:40115690332 密码:FUBErBKxGId0kA4 温馨提示:给大家分享这么多账号,也希望大家能够向你的朋友分享本站,浏览器搜索【kirin博客】即可访问本站 ...
-
爱奇艺会员账号分享
我们保证分享的帐号都是真实并且可以登录的,成功登录帐号的请不要随意更改密码,将方便留给大家。 账号:1021569037 密码:p4wE9VnFp4gx 账号:1321569038 密码:R9583wHEYnWAPFG 账号:668156903 密码:rYibpWqrQS 账号:9111569040 密码:ivjCJRG 账号:4391569033998 密码:1BFcSbAhR9 账号:30515690418 密码:2D8fVJMmQRP2 账号:827156903 密码:rjITvmLa 账号:49515690361 密码:L8zxcuK7mO 账号:71915690 密码:wi7Idj4tw3TnF 温馨提示:给大家分享这么多账号,也希望大家能够向你的朋友分享本站,浏览器搜索【Kirin博客】 ...
-
外面接单的QQ永久方法稳
722解封永久冻结QQ漏洞教程 条件: 1.微信绑定了冻结的QQ号 2.微信钱包已经实名认证 3.微信不能停封 教程: 教程:拨打电话95017,按提示按9,然后输入被冻结的QQ,按#号。 然后输入微信的实名认证的身份证,按#号。输入微信支付密码,按#号。 然后输入目前拨打电话的手机号,按#号。然后回收到短信,无需理会, 按电话语音提示是否冻结微信号,按#号,然后提示是否冻结微信绑定的QQ号,按#号。 然后会收到三条短信,接着挂断电话,去:aq.qq.com/007即可修改QQ密码。 然后去:https://url.cn/5LNndkJ解封微信帐号,即可 ...
-
中国拟立密码法明确任何组织或个人不得窃取他人加密信息
8密码法草案25日提请十三届全国人大常委会初次审议。草案明确,任何组织或者个人不得窃取他人的加密信息,不得非法侵入他人的密码保障系统,不得利用密码从事危害国家安全、社会公共利益、他人合法权益的活动或者其他违法犯罪活动。 你的密码安全吗?毒蜂教你密码设置,速收学习!123456、888888、5201314……这些数字你熟悉吗?如何设置一个安全性足够高的密码? 教你设置一个完美密码 1.谐音混合法 可以利用数字的谐音或相似的字符来设计密码。例如生日为“19950824则可以设置为“199MO82s 2.造句法 使用一句容易记住的句子。例如“吃葡萄不吐葡萄皮则可以设置为“ cptbtptp 教你设置一个完美密码 3.6步密码设置法 第一步:密码不要过短,最好大于8位数 第二步:使用一句话的缩写作为基础密码 例如“ just for you”的缩写是“jfy" 第三步:加上数字可使旱础密码更复杂 密码增强为“2018jfy" 第四步:加上符号可进行强化 密码增强为“2018jfy?" 第五步:使用大小写进一步强化 密妈增强为“2018y" 第六步:创建一个规则,在不同的网站使用不同的密码 例如:新浪微博+密码则为“XWB2018jfy?" 密码便用小贴士 1.不要一码多用 一个密码打天下”危验系数最高。黑客也会利用用户码走天下”的习惯,从攻击脆弱的小网站入手,最终获取用户的登录密码。 2.密码12位最合适 密码长固然安全性会提高,但不易记住。综合考虑安全、方便等因素,12位密码较为适当。 3.重要密码要定期更换 黑客一般通过反复尝试普遍性的密码:便可轻松掌握多个账户。所以,車要的密码要养成经常更新的习惯. 4.注意公共设备登录 在公共区域使用电子设备进行账户登录时,不要点击保存密码的功能选项。 5.采用多方验证 在设置账户时,可采用多方验证的方式,如手机验证码验证、回答问题验证等。同时在手机、电脑等电子设备中一定要安装防护软件。 6.重要账号单独设置 网上银行、网上支付、聊天账号等重要账号单独设置密码,并定期修改密码,可有效避免网站数据库泄露影响到自身账号。 必须注意日个手机支付坏习惯 不设手机屏保密码 不少人为了图省事,干脆不设手机密保,这样亳无隐私。跳过软件直接通过手机浏览器购物在浏览器购物容易出现钓鱼网站,再加上支付过程的极度简化,容易对消费者的财产造成威助。 不加辨别蹭免费网络 公共WF常被不法分子移槽木马及钓鱼网站,不但安全隐患多,而且分分钟盗窃你的个人信息。 蓝牙保持开启状态 智能手机可以通过蓝牙传播病毒,别人通过蓝牙间谍软件也可以查看你的电话本、信息、文件,修改你的音量,替你发号等。 5.淘汰手机时不彻底删除私人信息旧机不处理就出售,里面的个人信息会被拿到你手机的人知晓。 6.下载山塞软件下载应用软件要选择大型的应用商店下载,避免出现木马病毒。 7.随意点击手机短信链接活动获奖、邀请你查看相册、提示你密码出现问题等等的链接,还是不要随意去点击,应先想办法核实直实性。 8.见二维码就扫 二维码的背后可能会隐藏病毒、木马,你手机里的个人信息可就很轻易地被别人盗取了 密码法草案25日提请十三届全国人大常委会初次审议。草案明确,任何组织或者个人不得窃取他人加密信息,不得非法侵入他人密码保障系统,不得利用密码从事危害国家安全、社会公共利益、他人合法权益的活动或其他违法犯罪活动 你能用大脑记住的密码,都是不靠谱的密码 但是,在2019年,想要保护好自己的密码,应该怎么做? 牢记一点:任何一个你正在使用的网站或app都应该有一个单独的密码。这里就需要密码管理器了。某种程度上来讲,他们与很多家庭在90年代摆在电脑旁边记密码用的小本子差不多。 然而与密码本不一样,这些工具更加的安全,由一个只有你知道的“主密码”锁定,使这个数字保险箱里的内容只有你能够访问。当你注册一个新的网站时,你照常输入所有信息。当你到了输入密码的步骤时,不要输入你惯常使用的密码,点击浏览器上的密码管理器图标,解锁它,然后会生成一个新的随机的密码。这些密码会比你自己能记得住的更长更复杂——而且他们会被储存起来方便日后使用。 ...