本书从黑客攻防的专业角度,结合网络攻防中的实际案例,图文并茂地再现Web渗透涉及的密码获取与破解过程,是一本对密码获取与破解进行全面研究的图书。本书共分7章,由浅入深地介绍和分析了目前流行的Web渗透攻击中涉及的密码获取、密码破解方法和手段,并结合多年的网络安全实践经验给出了相对应的安全防范措施,对一些经典案例还给出了经验总结和技巧。本书最大的特色就是实用和实战性强,思维灵活,内容主要包括Windows操作系统密码的获取与破解、Linux操作系统密码的获取与破解、数据库密码的获取与破解、电子邮件密码的获取与破解、无线网络密码的获取与破解、App密码的获取与破解、各种应用软件的密码破解、破解WebShell口令、嗅探网络口令、自动获取远程终端口令等。
本书从黑客攻防的专业角度,结合网络攻防中的实际案例,系统、全面地介绍密码的防护、获取与破解,图文并茂地再现Web渗透涉及的密码获取与破解过程。
前 言
在出版《黑客攻防实战案例解析》、《Web渗透技术及实战案例解析》和《安全之路——Web渗透技术及实战案例解析(第2版)》后,我和安天365团队经过讨论,决定将技术进行细化,进行专题研究,编写一系列黑客攻防实战方面的图书。经过近一年的努力,终于将《黑客攻防:实战加密与解密》完成。
本书从Web渗透的专业角度系统探讨黑客安全攻防中涉及的密码获取与破解技术,内容尽可能贴近实战。攻击与防护是辩证统一的关系,掌握了攻击技术,也就掌握了相应的防护技术。密码是黑客渗透中最为关键的部分,进入VPN需要密码,进入邮箱需要密码,进入域控服务器也需要密码。在渗透进服务器后,如何尽可能多地搜集和获取密码,是黑客获得更多权限的关键。
本书以Web渗透攻击与防御为主线,主要通过典型的案例来讲解密码的保护和破解技术。在每一个案例中,除了技术原理外,还对技术要点进行了总结和提炼。掌握和理解这些技术后,读者在遇到类似的场景时可以自己进行操作。本书采用最为通俗易懂的图文解说方式,按照书中的步骤即可还原攻防情景。通过阅读本书,初学者可以很快掌握Web攻防的流程、最新的技术和方法,有经验的读者可以在技术上更上一层楼,让攻防技术在理论和实践中更加系统化。
本书共分7章,由浅入深,依照Web攻防密码保护与获取的技术特点安排内容,每一节都是一个具体技术的典型应用,同时结合案例给予讲解,并给出一些经验总结。本书主要内容安排如下。
第1章 Windows操作系统密码的获取与破解
介绍目前黑客攻防过程中如何获取Windows操作系统的密码,如何使用LC5、Ophcrack、Hashcat等工具对获取系统密码Hash值进行快速破解,以及如何安全设置操作系统的密码和如何检查系统是否存在克隆账号等。
第2章 Linux操作系统密码的获取与破解
介绍Linux操作系统root账号和密码的获取与破解,使用fakesu记录root用户密码,Hydra暴力破解密码,读取Linux保存的密码等。
第3章 数据库密码的获取与破解
介绍常见的数据库加密方式,破解Access密码,破解MySQL数据库密码,通过网页文件获取数据库账号和口令,扫描获取SQL Server肉机,通过sa权限、MySQL root提权等。
第4章 电子邮件密码的获取与破解
电子邮箱是存储私密和敏感信息的重要位置。本章主要介绍如何快速获取浏览器中保存的邮箱和网站等的密码,如何获取Foxmail等软件保存的密码,以及如何扫描和攻击邮箱口令等,并给出了相应的防范建议。
第5章 无线网络密码的获取与破解
介绍如何使用CDlinux无线破解系统破解无线网络的密码,如何获取系统保存的无线网络密码,以及如何利用公共无线网络密码渗透并获取他人的邮箱口令等。
第6章 App密码的获取与破解
本章介绍如何对App程序进行反编译并获取程序中的密码等信息,同时对手机木马反编译、手机锁等技术进行了探讨。
第7章 其他密码的获取与破解
本章主要介绍pcAnywhere、VNC等账号和口令的破解,讨论Discuz!论坛密码记录及安全验证问题暴力破解、一句话密码破解获取网站WebShell,以及使用Burp Suite破解WebShell密码、手工检测黑客工具“中国菜刀”是否包含后门等。
虽然本书内容已经比较丰富和完整,但仍然无法涵盖所有的黑客攻防技术。技术的探索没有止境,更多的工具和方法,读者可以在日常学习和工作中去探索和发现。
资源下载
笔者在书中提到的所有相关资源可以到安天365网站(http://www.antian365.com)下载。特别是作者在多年工作中收集的渗透工具包,也在安天365网站免费提供下载。
特别声明
本书的目的绝不是为那些怀有不良动机的人提供支持,也不承担因为技术被滥用所产生的连带责任。本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全问题带来的经济损失。
由于作者水平有限,加之时间仓促,书中疏漏之处在所难免,恳请广大读者批评指正。
反馈与提问
读者在阅读本书过程中遇到任何问题或者有任何意见,都可以直接发电子邮件至antian365@gmail.com进行反馈。
读者也可以加入Web安全图书交流QQ群(436519159)进行交流。
致谢
参加本书编写工作的有陈小兵、刘晨、黄小波、韦亚奇、邓火英、刘漩、庞香平、武师、陈尚茂、邱永永、潘喆、孙立伟。
感谢电子工业出版社对本书的大力支持,尤其是潘昕编辑为本书出版所做的大量工作。感谢美工对本书进行的精美设计。
借此机会,还要感谢多年来在信息安全领域给我教诲的所有良师益友,感谢众多热心网友对本书的支持。
最后要感谢我的家人,是他们的支持和鼓励使本书得以顺利完成。
本书集中了安全365团队众多“小伙伴”的智慧。我们是一个低调潜心研究技术的团队,我衷心地向团队的所有成员表示感谢,感谢雨人、Cold、imiyoo、cnbird、pt007、Mickey、Xnet、fido、指尖的秘密、Leoda、pt007、Mickey、YIXIN、终隐、fivestars、暖色调の微笑、幻想弦乐、Unsafe、雄究究、gh0stbo、人海孤鸿、LCCL等,是你们给了我力量,给了我信念。
作 者
2016年3月于北京
非常好的一本书