psudohash:一款基于变异机制的密码列表生成工具
2022-10-15 09:2:24 Author: FreeBuf(查看原文) 阅读量:12 收藏

 关于psudohash 

psudohash是一款功能强大的密码列表生成工具,该工具基于关键词变异技术实现其功能,并且能够根据常用密码创建模式来生成字典文件。

psudohash可以用于密码爆破任务中,以帮助广大研究人员测试密码的安全性。该工具能够模仿人类常用的某些密码创建模式,比如用符号或数字替换单词的字母、使用字符大小写变体、在单词前后添加常见填充等等。

值得一提的是,该工具允许广大研究人员根据自己的需要来对工具进行高度自定义扩展和开发。

 工具下载&安装 

该工具基于纯Python开发,因此我们首先需要在本地设备上安装并配置好Python环境。由于该工具不需要任何其他的依赖组件,因此我们可以直接使用下列命令将该项目源码克隆至本地,然后直接运行脚本即可:

git clone https://github.com/t3l3machus/psudohashcd ./psudohashchmod +x psudohash.py

(向右滑动,查看更多)

 工具使用 

./psudohash.py [-h] -w WORDS [-an LEVEL] [-nl LIMIT] [-y YEARS] [-ap VALUES] [-cpb] [-cpa] [-cpo] [-o FILENAME] [-q]

(向右滑动,查看更多)

工具帮助信息可以使用-h或--help命令查看。

 使用提醒 

1、该工具基于变异模式实现其功能,因此组合--years、--append-numbering和--numbering-limit选项一起使用的话,输入的任何年份最后两位都很可能产生重复的单词;

2、如果在源代码中添加自定义填充值和/或修改预定义的通用填充值,并结合多个可选参数,则出现重复单词的可能性很小;

3、psudohash提供了单词过滤控件,但考虑程序运行速度,并没有实现太多的控件;

 工具使用样例 

企业环境下的渗透测试

系统管理员和其他员工经常使用公司名称的变体来设置密码(例如。[email protected]_2022)。这种情况通常适用于网络设备(Wi-Fi接入点、交换机、路由器等)、应用程序甚至域帐户。通过最基本的选项,psudohash可以根据常见的字符替换模式(可定制)、大小写变化、常用作填充的字符串等,生成包含一个或多个关键字所有可能变化的单词列表。看看下面的例子:

该脚本包含一个基本字符替换模式,我们可以通过编辑源文件并遵循以下数据结构逻辑(默认)来添加/修改字符替换模式:

transformations = [{'a' : '@'},{'b' : '8'},{'e' : '3'},{'g' : ['9''6']},{'i' : ['1''!']},{'o' : '0'},{'s' : ['$''5']},{'t' : '7'}]

个人测试

针对个人用户来说,我们经常或多或少会使用一个对我们有意义的单词的变体来设置密码。例如,我们的名字或妻子/孩子/宠物/乐队的名字,结合我们出生的年份,或者可能使用像“!@#”这样的安全填充字符。针对上述情况的测试结果如下:

 许可证协议 

本项目的开发与发布遵循MIT开源许可证协议。

 项目地址 

psudohashhttps://github.com/t3l3machus/psudohash

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651199335&idx=4&sn=dee4d93cc112ec3c0bd3221435b5a6db&chksm=bd1d85ec8a6a0cfaa95b22fc7bf8e4cd0c7b36775b0590c9b1a6169b482428565c5b3b0217fb#rd
如有侵权请联系:admin#unsafe.sh