当前位置:首页 > 网络安全 > web渗透 > 正文内容

字典生成工具pydictor使用教程

6个月前 (12-27)321

在渗透测试前期,信息收集时非常重要的工作,需要对目标的各种信息进行分析,拆分和融合,目的是对目标进行全方位的了解,其中一个直接产出的就是生成账号密码的字典,后续的鱼叉,水抗攻击做好准备。很多时候的成功攻击,甚至都是从一个脆弱密码开始的。。

接下来我们进入主题来讲一讲pydictor这款工具

地址https://github.com/LandGrey/pydictor/
他可以帮助我们快速的生成普通爆破字典、基于网站内容的自定义字典、社会工程学字典等等一系列高级字典
还可以使用内置工具,对字典进行安全删除、合并、去重、合并并去重、高频词筛选
生成独一无二的高度定制、高效率和复杂字典,生成密码字典的好坏和你的自定义规则、能不能熟练使用pydictor有很大关系
兼容性强python 2.7版本还是python 3.4 以上版本,pydictor都可以在Windows、Linux 或者是Mac上运行

微信图片_20201227161510.jpg微信图片_20201227161524.pngpydictor可以生成的所有字典的类型及其说明

微信图片_20201227161528.jpg

字典操作功能及说明对照表

微信图片_20201227161533.jpg

支持的编码或加密方式

微信图片_20201227161537.jpg

核心字典功能

插件型字典(可自己根据API文档开发)

社工字典

这个社工字典的功能,再渗透测试中非常有用。生成出来的命中率也是非常高的。上面的字典生成方式,没有针对目标本身进行生成,具有普遍性,从而导致无法精确打击目标。社工字典的方式,通过我们输入目标的一些信息,可以针对这个目标生成定制化的字典。

python pydictor.py --sedb

微信图片_20201227164259.jpg可以看到非常多的选项提供,根据目标的信息生成制定化的字典去爆破,成功率高很多

例如设置以下信息

cname 00bk
birth 20200101
phone 13888888888
email 1586173648@qq.com
usedpwd qwer123456.

1.jpg

在results文件夹目录下会生成我们的字典

2.jpg可以看到生成的字典都是根据我们提供的信息来生成的。生成了6022条,还是非常给力的

包括生成身份证后x位,生日等的功能也是非常实用的


详细用法可以参照官网文档https://github.com/LandGrey/padictor/blob/master/docs/dos/usage.md

扫描二维码推送至手机访问。

版权声明:本文由零零博客发布,如需转载请注明出处。

分享给朋友:

相关文章

新手怎么学习web渗透

新手怎么学习web渗透

因为web安全这一块范围实在太大,哪些先学,哪些后学,如果没有系统的路线会降低大家效率,对于刚入门的同学们来说简直就是“噩梦”。所以,这篇类似学习路线的文章,希望可以帮助刚入门的萌新们少走弯路。1,H...

优秀渗透工具资源整理

优秀渗透工具资源整理

在进行渗透测试的过程中,会用到大量的开源工具,每次在各种网站、论坛看到很多很好的工具,所以使用该文章将每次碰到的优秀工具记录下来,然后在后期在进行归纳整理,既方便他人,也方便自己。好用工具1、B-XS...

找网站后台的全部方法

找网站后台的全部方法

首先我们如果想要找到它的后台我们就要明确它的后台是否在当前网站目录下一:在当前网站目录下 1:尝试常见后台地址   在根目录下的例如:/admin.php,/manage...

文件读取漏洞总结

文件读取漏洞总结

1、一般我拿到一个任意文件读取得先判断权限大不大,如果权限够大的话可以直接先把/etc/sadow读下来,权限不够就读/etc/passwd,先把用户确定下来,方便后续操作2、读取各个用户的.bash...

web缓存欺骗和web缓存投毒攻击方式

web缓存欺骗和web缓存投毒攻击方式

 首先我们先来了解一下什么是缓存,缓存在什么地方关于缓存由于现在网站应用的复杂性,通常一个首页就会进行大量资源的加载,为了使用户更快的加载网页,几乎都会使用缓存,即将一些常用的静态文件,存储...

漏洞挖掘 | 记一次越权登录

漏洞挖掘 | 记一次越权登录

http://xxxxx/index.html?userNo=xxxx可以直接登录学生用户(女朋友给的)fofa收集了一波4个站点。。。,由于没扫到备份,只能黑盒测了然后发现一处接口 杂七杂八测试了下...