ihebski/DefaultCreds-cheat-sheet

# 默认凭据速查表

**汇集所有默认凭据的一站式资源，旨在协助渗透测试人员/蓝队成员在任务期间的工作，包含源自多方参考的各种产品的默认登录名/密码详情。** - [x] 项目进行中 ## 动机 - 一份包含最知名供应商默认凭据的文档 - 在渗透测试/红队演练期间协助渗透测试人员 - **帮助蓝队成员发现此安全漏洞并进行修复，从而保护公司基础设施资产的安全**。参见 [OWASP 指南 [WSTG-ATHN-02] - 测试默认凭据](https://owasp.org/www-project-web-security-testing-guide/v42/4-Web_Application_Security_Testing/04-Authentication_Testing/02-Testing_for_Default_Credentials "OWASP Guide") #### 数据集简要统计 | | 产品/供应商 | 用户名 | 密码 | | --- | --- | --- | --- | | **数量** | 3675 | 3675 | 3675 | | **唯一值** | 1367 | 1119 | 1673 | | **最高频** | Oracle| | | | **频率** | 235 | 796 | 473 | #### 来源 - [Changeme](https://github.com/ztgrace/changeme "Changeme project") - [Routersploit]( https://github.com/threat9/routersploit "Routersploit project") - [betterdefaultpasslist]( https://github.com/govolution/betterdefaultpasslist "betterdefaultpasslist") - [Seclists]( https://github.com/danielmiessler/SecLists/tree/master/Passwords/Default-Credentials "Seclist project") - [ics-default-passwords](https://github.com/arnaudsoullie/ics-default-passwords) (感谢 @noraj) - 供应商文档/博客 ## 安装与使用 Default Credentials Cheat Sheet 工具已在 [pypi](https://pypi.org/project/defaultcreds-cheat-sheet/) 上发布 ``` $ pip3 install defaultcreds-cheat-sheet $ creds search tomcat ``` | 操作系统 | 已测试 | |---------------------|-------------------| | Linux(Kali,Ubuntu,Lubuntu) | ✔️ | | Windows(10,11) | ✔️ | | macOS | ✔️ | ##### 手动安装 ``` $ git clone https://github.com/ihebski/DefaultCreds-cheat-sheet $ pip3 install -r requirements.txt $ cp creds /usr/bin/ && chmod +x /usr/bin/creds $ creds search tomcat ``` ## Creds 脚本 ### 使用指南 ``` # 搜索 product creds ➤ creds search tomcat +----------------------------------+------------+------------+ | Product | username | password | +----------------------------------+------------+------------+ | apache tomcat (web) | tomcat | tomcat | | apache tomcat (web) | admin | admin | ... +----------------------------------+------------+------------+ # 更新 records ➤ creds update Check for new updates...🔍 New updates are available 🚧 [+] Download database... # 导出 Creds 到文件 (可用于 brute force 攻击) ➤ creds search tomcat export +----------------------------------+------------+------------+ | Product | username | password | +----------------------------------+------------+------------+ | apache tomcat (web) | tomcat | tomcat | | apache tomcat (web) | admin | admin | ... +----------------------------------+------------+------------+ [+] Creds saved to /tmp/tomcat-usernames.txt , /tmp/tomcat-passwords.txt 📥 ``` **通过代理运行 creds** ``` # 搜索 product creds ➤ creds search tomcat --proxy=http://localhost:8080 # 更新 records ➤ creds update --proxy=http://localhost:8080 # 搜索 Tomcat creds 并将结果导出到 /tmp/tomcat-usernames.txt , /tmp/tomcat-passwords.txt ➤ creds search tomcat --proxy=http://localhost:8080 export ``` [](https://asciinema.org/a/526599) #### Pass Station [noraj][noraj] 创建了 CLI 和库，以便使用 `DefaultCreds-Cheat-Sheet.csv` 在此数据库中搜索默认凭据。 该工具名为 [Pass Station][pass-station] ([文档][ps-doc])，拥有强大的搜索功能（字段、开关、正则表达式、高亮）和输出功能（简单表格、精美表格、JSON、YAML、CSV）。 [](https://asciinema.org/a/397713) ## 贡献 如果您找不到特定产品的密码，请提交 pull request 以更新数据集。

标签：Cheat-Sheet, DFIR, Kali-Linux, Python, Windows内核, 字典, 弱口令, 数据展示, 文档结构分析, 无后门, 白帽子, 红队, 网络安全, 网络安全审计, 逆向工具, 隐私保护, 默认凭据, 默认密码