黑客是如何利用kali linux进行密码破解的？

  视频讲解

在本期视频中，John hammond 演示了黑客是如何使用Hydra和hashcat 进行密码猜测和暴力破解，以及使用 John the Ripper 破解密码来获取对用户帐户的访问权限。该视频展示了执行此操作的三种方法。

图文教程

第一种：

攻击目标主机：

 

尝试通过 SSH进入用户帐户并猜测密码，在名为 RockYou.txt和fastTrack.txt 的字典列表文件中查找密码，通过尝试所有可能的字母和数字组合来进行暴力破解

提取RockYou.txt文本文件

使用命令

hydra -l user -p fasttrack.txt ssh://192.168.111.129
-V -I -F

指定用户名和字典文件fastTrack.txt暴力破解密码

该工具使用暴力攻击成功获得了对主机的访问权限。破解成功（粗体显示为破解密码），密码为：starwars

 

尝试用破解密码登录目标主机，登陆成功

 

第二种(后续补充）

第三种（后续补充）

安全小科普：

Hydra是一种流行的密码破解工具，可以用于暴力破解密码的攻击。这个工具支持多种服务，包括SSH, FTP, Telnet, SMTP等。它也可以利用暴力破解来尝试破解Web表单的登录密码。Hydra的一个优点是它可以通过多线程同时攻击多个服务，从而加速密码破解的速度。同时，Hydra提供了很多参数和选项来帮助用户定制攻击方式，例如用户可以一次性设置多个用户名和密码列表，以便在攻击中循环使用。然而，需要强调的是，在进行密码破解前，请务必确保检查并遵守当地法律和道德标准。Fast Track 是可供使用的较小的密码字典列表。

破解密码散列的方法有三种: 暴力破解、猜测密码和在其他攻击中传递散列。

密码应以加密形式存储在安全数据库中，因为黑客可以访问明文密码。在处理密码时，最重要的是将它们以加密格式存储在安全位置。否则，它们可能会被黑客访问。

为确保密码安全且唯一，建议使用密码管理器Passport 是一个免费的开源密码管理器，允许个人和团队安全地存储和共享密码。它可以托管在Linux 服务器或 Raspberry Pi 上，也可以通过AWS或 DigitalOcean 等托管服务提供商部署到云中，Passport 也是开源的。

Passport：https://jh.io/passbolt