(原创)暴力破解西电校园网密码

今天讨论的是信息安全的问题,具体是关于西电的校园网账号和密码。自己当时写了一个工具,距今也半年多了,现在想跟大家分享一下。

首先打开西电校园网的计费系统(当然只能内网能进):

http://zyzfw.xidian.edu.cn/index.php

就是这个页面,需要输入用户名,密码和验证码。

用户名是学号,密码默认是身份证后六位,也就说最大值是320000,验证码是4位数字。

在火狐浏览器上打开这个网址,并且打开firebug插件,咱们进行登陆抓包。

大家可以看到用户名,密码和验证码都是通过明文发送,这样就把暴力破解的难度降低了。

接下来暴力破解的难度就在于验证码了。如果想快速的破解密码,程序中必然要用到多线程,所以自动识别验证码是必然的,不可能人力来输入。那这个验证码是否安全呢?答案是否定的。首先验证码是四位数字,接着图片上的杂点太容易被去除了(这是我学习图像工程的结果)。于是我选择使用次时代识别引擎进行训练来识别验证码,训练了十几组,成功率达到了98%,已经满足要求。

最后需要写个程序来模拟post请求,进行暴力破解就OK了。下面是我写的程序的运行情况。

我先破解一下我自己的:

所以西电的同学们如果你们还在使用默认的密码,你们就危险了。

上年我师兄师姐的密码,我基本上已了然于胸,嘿嘿嘿。。。。

如果你们觉得我这篇原创还行的话,记得打赏哟

原文发布于微信公众号 - 七夜安全博客(qiye_safe)

原文发表时间:2016-03-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏BestSDK

11个Docker的奇思妙用

Docker虽然不能解决全球饥饿问题,但是最近很多Docker的新奇用法就足以让人大开眼界了。从树莓派集群的管理到基因序列和癌症的研究,以下11个关于Docke...

2828
来自专栏Android干货园

Android 轻松实现百度地图定位

版权声明:本文为博主原创文章,转载请标明出处。 https://blog.csdn.net/lyhhj/article/details/49...

961
来自专栏zhangdd.com

zabbix3.2安装graphtree3.0.4

wget –no-check-certificate  https://raw.githubusercontent.com/OneOaaS/graphtrees...

732
来自专栏小白课代表

犀牛Rhino3.0安装教程

1363
来自专栏北京马哥教育

企业IT运维以及信息管理部服务器管理

方法 1、服务器有必要保持简洁。除了必要的应用软件以及安全软件之外,尽量不要安全其它的软件。 2、要做好服务器帐号权利规划和分配,分配够用的权利就行,从而降低...

2676
来自专栏机器之心

资源 | 挑战谷歌,Facebook 发布交互数据可视化工具 Visdom

选自GitHub 机器之心编译 参与:微胖、吴攀 FAIR 发布了 Visdom,一款可在 Torch、PyTorch 以及 NumPy 上实现交互式数据可视化...

2198
来自专栏小白安全

小白博客 Windows最基本快捷键功能

今天要说的东西,可能不少朋友都会觉得太基础,或者不适用但是还会有不少朋友喜欢的 其实 Win 的快捷键有很多,甚至很多人还能自己把热键改成自己喜欢的。 ? 首先...

2745
来自专栏小文博客

在线图片识别系统Ver2.0

该工具是小文博客基于Django框架开发的图片识别系统,调用腾讯云API,目前可识别身份证、驾驶证、行驶证、营业执照、印刷体、手写体等十几种图片。在Ver1.0...

2852
来自专栏云计算与大数据

研发:认识Web安全

确保您的 Web 站点或 Web 应用安全是十分重要的,即使是代码中很小的 bug 也可能导致隐私信息被泄露,黑客会尝试偷窃数据。

472
来自专栏信安之路

打造属于自己的渗透神器 第二篇

今天我又给大家带来了新的一篇打造一个属于自己的渗透神器,之前在浏览视频的时候看到一部视频就是讲这个的今天我们就一起试一下。

800

扫码关注云+社区