1. 项目概述为什么我们需要“聪明”的密码字典在渗透测试或安全评估的实战中密码破解往往是绕不开的一环。无论是Web应用的登录入口、数据库的弱口令还是内网中各种服务的认证一个有效的密码字典其价值不亚于一把趁手的瑞士军刀。很多新手朋友拿到Kali Linux兴冲冲地打开hydra或john the ripper却常常卡在第一步字典从哪里来网上随便下载一个“万能字典”动辄几十GB跑起来耗时耗力命中率却低得可怜。这就像拿着一本厚厚的电话黄页去猜一个人的手机号效率极低。这就是crunch工具的价值所在。它不是一个简单的词库而是一个“密码生成器”。你可以基于目标的信息比如公司名、人名、生日、常用规则让crunch按你的“剧本”批量生成高相关性的密码组合。今天要聊的就是如何把这把“军刀”磨得更锋利。我将结合自己多年在红队和渗透测试项目中的经验分享5个能显著提升密码命中率的crunch使用技巧。这些技巧的核心思想是从目标的“社会工程学”信息出发用规则替代蛮力让字典变得“智能”。2. 核心思路从信息收集到字典生成的工作流在直接敲命令之前我们必须建立一个正确的思维框架。生成高命中率字典绝不是打开crunch随便敲几个参数而是一个始于信息收集、终于规则提炼的系统性工作。2.1 密码构成的常见模式解析绝大多数人为设置的密码都遵循一些可预测的模式。理解这些模式是设计生成规则的基础。我通常将它们归纳为以下几类基础字符串固定后缀/前缀这是最常见的形式。基础字符串通常是姓名、昵称、公司名、品牌名等有意义的单词。后缀/前缀则包括年份如2023, 2024、特殊符号如!, , #、常见数字如123, 888, 520或简单字母如abc, qwe。示例zhangsan2024,admin123!,company2023键盘模式与懒人密码用户为了方便记忆会使用键盘上相邻的键位组合。横向模式如qwerty,asdfgh,zxcvbn。纵向模式如1qaz2wsx,3edc4rfv。短重复序列如aaabbb,112233。变形与替换规则对基础单词进行简单的字符替换自以为增加了安全性。Leet Speak黑客语用数字或符号替换形状相似的字母。如a-4或e-3i-1或!o-0s-5或$。password可能变为pssw0rd或p455w0rd。大小写变换首字母大写、全大写、或随机大小写混合。如ZhangSan,ADMIN。上下文相关密码密码与目标系统、业务或个人强相关。公司相关公司缩写年份 (ABC2024)、产品名序号 (product01)。个人相关生日 (19900101)、手机号后几位、车牌号、纪念日。注意实战中单一模式出现的概率正在降低但多种模式的组合与嵌套才是当前的主流。例如Zhangsan2024!就融合了“姓名大写特殊符号年份感叹号”四种模式。我们的crunch规则设计就是要模拟这种组合思维。2.2 信息收集是字典的“原料”巧妇难为无米之炊。没有高质量的信息输入再好的生成规则也是空谈。在渗透测试的授权范围内我们需要系统性地收集“原料”公开来源情报OSINT公司官网记录公司全称、缩写、品牌名、产品线、口号、创始年份。社交媒体如领英收集目标部门的关键员工姓名、职位、可能使用的英文名或昵称。招聘网站了解公司使用的技术栈如Oracle,VMware这些常被用作服务密码。目标系统本身网站错误信息有时会暴露出邮箱后缀如abc.com、用户名如dev_user。页面源码注释开发者留下的注释可能包含测试账号、内部项目代号。公开文档/API接口可能包含默认路径、默认参数名这些也可能被用作密码。将收集到的信息整理成一个结构化的列表例如基础词库[zhangsan, lisi, admin, root, oracle, test, company, abc]数字后缀[2024, 2023, 123, 456, 789, 888, 666, 生日年份]特殊字符[!, , #, $, %, , *, _]这个列表就是我们接下来驱动crunch的“燃料”。3. 技巧一精准控制字符集与长度告别盲目生成crunch最基本也最强大的功能就是通过字符集和长度参数来生成密码。但很多人只用默认的[a-z]或[0-9]这效率太低。3.1 理解crunch的核心语法先看一个最简单的命令生成所有6位纯数字密码crunch 6 6 0123456789 -o num_6.txt6 6最小长度和最大长度都是6。0123456789指定使用的字符集。-o num_6.txt将结果输出到文件。这个命令会生成从000000到999999共100万个密码。如果目标密码是6位数字这个字典是完备的但如果我们知道目标可能用了字母这就是在做无用功。3.2 技巧实战基于目标信息的字符集定制假设我们从OSINT得知目标公司名叫“星辰科技”StarTech员工常用英文名年份。我们可以设计一个高度定制的字符集。步骤1定义基础字符集我们不是用[a-z]而是用收集到的信息。员工名首字母小写slkb(假设员工有San, Li, Kevin, Bob)公司名缩写st(StarTech)常见英文名/昵称admin, test, oracle, root(但crunch字符集是单个字符这里需要换思路见技巧二)对于单个字符我们可以定义一个“高概率字符集”# 假设我们分析目标常用密码包含名字首字母、公司缩写字母、常见数字、和! custom_charsetslkbst0123456789!但这个字符集用于生成随机组合意义不大。更有效的方法是组合使用固定词条和可变字符集。步骤2使用-t参数进行模式化生成这才是关键。-t参数允许你使用占位符定义密码模式。代表小写字母,代表大写字母%代表数字^代表特殊字符假设我们想生成“小写英文名 2位年份 一个特殊符号”的密码模式是%%^。我们需要一个4位小写字母的英文名字典。这可以先通过其他方式准备如cewl爬取或手动列表或者用crunch生成所有4位小写字母组合但量很大。更务实的做法如果我们有已知的几个名字如san, li, kevin, bob我们应该用技巧二字典文件组合而不是用-t来暴力生成名字部分。因此-t更适合用于已知结构但部分位置字符可变的场景。例如我们知道目标系统强制要求“大写字母开头后跟5位数字以!结尾”模式就是,%%%%%!。crunch 7 7 -t ,%%%%%! -o pattern_pass.txt这个命令会生成从A00000!到Z99999!的所有可能密码非常精准。实操心得不要一上来就用大而全的字符集如-f /usr/share/crunch/charset.lst mixalpha-numeric-all-space。这会导致字典体积爆炸且绝大部分是无效组合。始终先尝试用-t定义你最怀疑的几种固定模式生成“高精度”字典进行第一轮测试。通常10%的精心设计的规则能覆盖80%的常见弱口令。4. 技巧二与外部字典文件联动实现词汇组合这是将crunch从“字符组合器”升级为“智能密码工厂”的核心技巧。crunch可以读取外部字典文件作为“词根”然后为其添加前后缀或进行组合。4.1 使用-q参数读取字典文件假设我们通过信息收集得到了一个基础用户名列表user_list.txtzhangsan lisi wangwu admin test oracle我们怀疑密码就是“用户名 常见数字后缀”。这时-q参数就派上用场了。crunch 8 10 -q user_list.txt -t %%%% -o user_num_dict.txt-q user_list.txt从user_list.txt中读取每一行作为“词根”。8 10限定生成密码的总长度在8到10位之间。-t %%%%这是一个相对模式。这里的不再代表“任意小写字母”而是代表从-q文件读取的整个词根。%%%%代表4位数字。整个命令的意思是为user_list.txt中的每一个词根后面拼接上从0000到9999的所有4位数字组合。执行过程解析crunch读取zhangsan8位。为其拼接0000生成zhangsan000012位超过最大长度10位被丢弃。这说明我们的长度参数设置不合理。zhangsan本身已8位只能再拼接最多2位数字8210。我们应该将模式改为-t %%或者增加最大长度。修正命令crunch 9 12 -q user_list.txt -t %% -o user_num_dict_v2.txt最小长度9zhangsan1位数字最大长度12zhangsan4位数字。模式%%词根 2位数字。这会为每个用户生成00到99的100个密码。4.2 进阶组合多个字典文件的笛卡尔积更强大的功能是-q可以指定多个文件crunch会为它们做笛卡尔积即所有可能的两两组合。假设我们有两个文件prefix.txt:admin, sys, rootsuffix.txt:123, 2024, !#我们想生成所有“前缀后缀”的组合crunch 0 0 -q prefix.txt suffix.txt -o combo_dict.txt0 0这里最小最大长度设为0是告诉crunch我们完全由-q文件的内容决定密码不额外添加模式。-q prefix.txt suffix.txt读取两个文件输出它们所有行的两两拼接。生成的内容将是admin123 admin2024 admin!# sys123 sys2024 sys!# root123 root2024 root!#这个功能极其有用你可以将收集到的“基础词”、“数字串”、“特殊符号串”分别放在不同文件然后自由组合模拟用户设置密码时的各种习惯。注意事项使用-q时务必注意长度控制。如果词根本身很长再拼接其他内容很容易超出系统或服务的密码长度限制常见为16或32位生成大量无效密码浪费计算和存储资源。最好先用wc -L命令检查字典文件中最长词条的长度。5. 技巧三利用字符集文件与模式应对复杂策略面对有复杂密码策略如必须包含大小写字母、数字、特殊字符的目标环境我们需要更精细的控制。Kali Linux自带的charset.lst文件和我们自定义的模式模板可以解决这个问题。5.1 使用预定义字符集文件在/usr/share/crunch/charset.lst中crunch预定义了许多字符集。crunch 8 8 -f /usr/share/crunch/charset.lst mixalpha-numeric-all -o complex_8.txt-f charset.lst指定字符集定义文件。mixalpha-numeric-all使用该文件中名为mixalpha-numeric-all的字符集通常包含大小写字母、数字和部分特殊字符。这个命令会生成所有8位由大小写字母、数字、特殊字符组成的密码数量极其庞大(262610符号数)^8仅供理论测试实战慎用。5.2 创建自定义字符集与模式文件实战中我们更倾向于自定义。首先创建一个字符集定义文件mycharset.lst# 定义字符集名称和内容 myupper ABCDEFGHIJKLMNOPQRSTUVWXYZ mylower abcdefghijklmnopqrstuvwxyz mydigit 0123456789 mysymbol !#$% mycommon aA4bBcC1dDeE3fFgGhHiI!jJkKlLmMnNoO0pPqQrRsS5$tTuUvVwWxXyYzZ上面定义了几个字符集其中mycommon是一个“高频率字符集”它包含了小写字母、对应的大写字母、常见的Leet Speak替换a/A/4, e/E/3, s/S/5和两个高频符号。这比全字符集更高效。接着创建一个模式文件mypattern.lst# 定义密码生成模式 mycommon,mycommon,mycommon,mydigit,mydigit,mydigit mysymbol,mycommon,mycommon,mycommon,mydigit,mydigit myupper,mylower,mylower,mylower,mydigit,mysymbol每一行代表一种密码模式字符集名称按顺序排列表示密码每一位的字符来源。最后使用它们生成字典crunch 6 6 -s Aa4b12 -e Zz5$98 -l mypattern.lst -f mycharset.lst -o smart_dict.txt-s Aa4b12设置起始密码。必须符合mypattern.lst中第一条模式的定义。这里Aa4b12对应第一条模式mycommon,mycommon,mycommon,mydigit,mydigit,mydigit。-e Zz5$98设置结束密码。-l mypattern.lst指定模式文件。-f mycharset.lst指定字符集文件。这个命令会从Aa4b12开始按照mypattern.lst中的模式顺序利用mycharset.lst中定义的字符集生成密码直到Zz5$98。它允许我们精细地控制密码的“形态”例如“前三位是常见字母/数字/符号变体后三位是纯数字”这种常见用户习惯。实操心得对于有明确密码策略如“至少一个大写、一个小写、一个数字、一个特殊字符共8位”的目标先用此方法生成一个符合策略的“种子字典”。虽然数量仍然不少但远比全字符集暴力组合小得多。可以将此字典与技巧二结合例如用-q读取公司缩写后面拼接这种符合策略的6位字符串。6. 技巧四管道组合与实时破解提升效率生成了字典最终目的是为了破解。将crunch的生成过程与破解工具如hydra,john,hashcat通过管道|连接可以实现“即产即用”避免生成巨大的字典文件占用磁盘空间也适合在需要时快速测试特定模式。6.1 基础管道操作最经典的用法是将crunch的输出直接传递给hydra进行暴力破解尝试。例如我们想测试一个SSH服务用户名已知为root怀疑密码是6位纯数字crunch 6 6 0123456789 | hydra -l root -p - ssh://192.168.1.100crunch 6 6 0123456789生成所有6位数字密码输出到标准输出stdout。|管道符将前一个命令的标准输出作为后一个命令的标准输入。hydra -l root -p - ...-p -表示从标准输入读取密码。这样crunch每生成一个密码hydra就立刻用它去尝试登录。一旦破解成功整个流程会自动停止。这非常适合快速验证“密码是否为某种简单模式”的假设。6.2 应对复杂场景与流量控制然而直接管道传输存在两个问题速度不匹配crunch生成密码的速度可能远快于hydra尝试网络登录的速度会导致管道缓冲区积压最终可能被系统终止。无持久化记录如果破解中途断开无法知道哪些密码已经尝试过。解决方案1使用-i参数减少输出缓冲crunch的-i参数可以改变输出顺序有时能缓解问题但根本的解决方案是控制速率。解决方案2使用pv命令监控管道流量如果系统已安装crunch 6 6 0123456789 | pv -L 10 | hydra -l root -p - ssh://192.168.1.100pv -L 10限制管道中数据的流速为每秒10行即10个密码。这可以防止hydra被淹没。解决方案3推荐生成小批量字典文件进行分段测试对于非纯数字的、较大的字典更稳妥的做法是分块生成和测试。# 生成前1000个密码进行测试 crunch 8 8 -f /usr/share/crunch/charset.lst mixalpha-numeric -s aaaaaaaa -e aaaabaaa -o dict_part1.txt hydra -l admin -P dict_part1.txt http-get-form://192.168.1.200/login.php:user^USER^pass^PASS^:Fincorrect通过-s和-e精确控制生成密码的范围。先测试一个小样本如果命中率极低可能需要调整生成策略字符集或模式避免长时间运行无效攻击。注意事项实时管道破解对网络服务的压力较大且容易被对方的入侵检测系统IDS发现。在授权的渗透测试中务必控制速率并选择非业务高峰时段进行。对于本地哈希文件破解如john或hashcat管道操作更为安全高效因为不涉及网络延迟。7. 技巧五优化输出与字典管理适应实战生成了字典如何管理和使用它同样影响实战效率。一个几十GB的字典加载到内存都困难更别说快速遍历了。7.1 压缩与分割大字典crunch生成的字典文件是纯文本压缩率很高。使用gzip或bzip2压缩可以节省大量磁盘空间。crunch 8 8 -f charset.lst mixalpha-numeric-all -o huge_dict.txt gzip huge_dict.txt # 生成 huge_dict.txt.gz像hashcat这样的现代破解工具支持直接读取.gz压缩文件非常方便。如果字典太大即使压缩后也不便操作可以将其分割成多个小文件。# 使用 split 命令分割字典文件 split -l 1000000 huge_dict.txt dict_part_ # 这会将 huge_dict.txt 按每100万行分割成多个文件命名为 dict_part_aa, dict_part_ab...在破解时可以写一个简单的循环脚本依次对每个分片字典进行尝试。7.2 字典去重与合并在多次测试中我们可能会生成多个有交集的字典。使用sort和uniq命令进行去重合并是必要的。# 合并两个字典并去重 cat dict1.txt dict2.txt | sort | uniq dict_merged_unique.txt # 如果想保留去重后的字典并按长度排序 cat dict1.txt dict2.txt | awk {print length, $0} | sort -n | cut -d -f2- | uniq dict_sorted_unique.txtawk命令用于在每行前添加长度信息sort -n按数字即长度排序cut命令移除添加的长度信息最后uniq去重。7.3 基于统计的字典裁剪与排序这是高阶技巧。如果我们在多次测试中积累了一些破解成功的密码可以分析这些“成功样本”的规律并以此优化字典。收集成功密码将所有破解成功的密码保存到一个文件success_passwords.txt。分析模式人工或使用简单脚本分析这些密码的共同点如都以年份结尾、都包含公司缩写等。重新生成基于分析出的新规律使用crunch的-t或-q参数生成更具针对性的“二代字典”。频率排序将最可能出现的密码模式如公司名2024生成的密码放在字典文件的最前面。因为hydra或john默认按顺序尝试这样能最快命中。例如如果我们发现10个成功密码里有8个以2023或2024结尾那么新的字典就应该把包含这些年份后缀的密码变体优先生成和排列。实操心得永远不要试图用一个“终极字典”解决所有问题。高效的实战流程是“生成-测试-分析-优化”的循环。每次测试后无论成功与否都要复盘哪些规则命中了哪些规则完全没用基于反馈不断精简和调整你的crunch参数和词库文件让字典越来越“聪明”体积越来越小命中率越来越高。一个好的渗透测试工程师背后一定有一套持续迭代的、高度定制化的字典生成流程和词库。8. 常见问题与排查技巧实录即使掌握了技巧在实际操作crunch时你仍可能会遇到一些“坑”。下面是我在多次实战中总结出来的典型问题及解决方法。8.1 问题命令执行后无输出或立即结束可能原因1长度参数设置矛盾。这是最常见的问题。例如你指定的字符集最小长度大于最大长度或者使用-t模式时模式字符串本身的固定长度超出了你设置的长度范围。排查仔细检查crunch [min] [max] ...中的min和max值。确保min max。对于-t模式计算模式中所有占位符和字面字符的总长度确保其在[min, max]区间内。可能原因2起始值(-s)已超过结束值(-e)。当你使用-s和-e限定范围时如果起始值在字典序上已经大于结束值crunch自然没有可生成的密码。排查检查-s和-e指定的字符串确保它们符合你定义的字符集顺序且-s小于-e。可能原因3输出被重定向但文件路径不可写。使用-o参数时如果指定的目录不存在或没有写入权限命令可能静默失败。排查检查-o参数后的文件路径确保目录存在且有写权限。可以先用touch /path/to/your/dict.txt测试一下。8.2 问题生成的字典文件异常巨大迅速撑满磁盘可能原因低估了组合爆炸的威力。这是新手最容易犯的致命错误。例如命令crunch 10 10 0123456789abcdefghijklmnopqrstuvwxyz会生成36^10约3.6e15个密码这是一个不可能完成的任务。预防与排查先估算在运行前用计算器估算一下可能的总数。crunch命令本身在开始生成前也会打印预估的行数务必关注这个数字如果数字后面跟的是GB或TB请立即CtrlC。使用-c参数试运行crunch 10 10 ... -c 1000只会生成前1000个密码并输出到屏幕不会写文件。你可以先用这个功能检查生成的内容是否符合预期。务必使用-o参数永远不要在不使用-o指定输出文件的情况下运行可能生成大量数据的crunch命令否则输出会打印到终端可能导致终端卡死或系统内存耗尽。8.3 问题与hydra等工具联用时破解速度慢或无结果可能原因1网络协议与服务本身慢。HTTP POST登录、SSH认证等本身就有网络延迟和协议开销。优化使用hydra的-t参数增加任务并行数如-t 16但不要超过目标服务的承受能力。考虑使用更高效的破解工具如针对特定服务如MySQL, RDP的专用破解器或者将哈希提取出来用hashcat在本地GPU上跑。可能原因2字典顺序不佳。最常用的密码可能藏在字典的末尾。优化如技巧五所述将高概率密码如收集到的目标相关信息生成的密码放在单独的小字典里优先尝试。可能原因3目标账户被锁定。很多系统有账户锁定策略连续失败多次后会临时锁定账户导致后续尝试全部无效。排查在hydra的输出中观察是否在某一刻之后所有尝试都立即失败。或者在测试前先用一个肯定错误的密码手动尝试几次看是否会触发锁定机制。应对如果存在锁定策略必须在hydra中使用-w或-W参数增加尝试间隔时间或者使用-f参数在第一次成功后就停止避免触发锁定。8.4 问题生成的密码包含不可见字符或格式错误可能原因字符集定义文件或命令行字符集中包含换行符、空格等不可打印字符。排查检查自定义的字符集文件mycharset.lst或直接在命令中输入的字符集字符串。确保其内容是你想要的字符没有多余的空格或换行。技巧在命令行指定字符集时用引号括起来是个好习惯如crunch 6 6 abc123!。对于文件可以用cat -A mycharset.lst查看是否包含特殊字符$表示行尾。8.5 速查表Crunch 常用参数与场景参数全称/含义典型应用场景示例min max密码最小/最大长度控制生成密码的长度范围crunch 6 8 ...生成6到8位密码charset字符集指定密码由哪些字符构成crunch 6 6 0123456789abcdef-o file输出到文件几乎必用保存结果-o passwords.txt-t ,%,^模式定义按固定模式生成小写%数字^符号-t %%%生成类似abc123的密码-q file读取字典文件将文件内容作为词根进行组合-q names.txt -t %%-s string起始字符串从特定密码开始生成-s aaaa99-e string结束字符串生成到特定密码停止-e zzzz00-c number生成数量仅生成指定数量的密码试运行-c 1000只生成1000个-f charset.lst指定字符集文件使用预定义或自定义的复杂字符集-f /path/to/charset.lst mixalpha-l pattern.lst指定模式文件使用文件定义多种复杂模式-l mypatterns.lst-i反转输出改变输出顺序有时可优化破解顺序与-t模式结合使用-z压缩输出生成后自动用gzip压缩文件-o dict.txt.gz -z最后记住crunch的本质是一个规则引擎。它的威力不在于暴力生成所有可能而在于你将多少关于目标的“情报”和“人性洞察”转化为精确的生成规则。把这5个技巧融合起来形成你自己的字典生成工作流你会发现密码破解不再是碰运气而是一场有策略的信息战。
5个Crunch密码生成技巧:从信息收集到高命中率字典实战
1. 项目概述为什么我们需要“聪明”的密码字典在渗透测试或安全评估的实战中密码破解往往是绕不开的一环。无论是Web应用的登录入口、数据库的弱口令还是内网中各种服务的认证一个有效的密码字典其价值不亚于一把趁手的瑞士军刀。很多新手朋友拿到Kali Linux兴冲冲地打开hydra或john the ripper却常常卡在第一步字典从哪里来网上随便下载一个“万能字典”动辄几十GB跑起来耗时耗力命中率却低得可怜。这就像拿着一本厚厚的电话黄页去猜一个人的手机号效率极低。这就是crunch工具的价值所在。它不是一个简单的词库而是一个“密码生成器”。你可以基于目标的信息比如公司名、人名、生日、常用规则让crunch按你的“剧本”批量生成高相关性的密码组合。今天要聊的就是如何把这把“军刀”磨得更锋利。我将结合自己多年在红队和渗透测试项目中的经验分享5个能显著提升密码命中率的crunch使用技巧。这些技巧的核心思想是从目标的“社会工程学”信息出发用规则替代蛮力让字典变得“智能”。2. 核心思路从信息收集到字典生成的工作流在直接敲命令之前我们必须建立一个正确的思维框架。生成高命中率字典绝不是打开crunch随便敲几个参数而是一个始于信息收集、终于规则提炼的系统性工作。2.1 密码构成的常见模式解析绝大多数人为设置的密码都遵循一些可预测的模式。理解这些模式是设计生成规则的基础。我通常将它们归纳为以下几类基础字符串固定后缀/前缀这是最常见的形式。基础字符串通常是姓名、昵称、公司名、品牌名等有意义的单词。后缀/前缀则包括年份如2023, 2024、特殊符号如!, , #、常见数字如123, 888, 520或简单字母如abc, qwe。示例zhangsan2024,admin123!,company2023键盘模式与懒人密码用户为了方便记忆会使用键盘上相邻的键位组合。横向模式如qwerty,asdfgh,zxcvbn。纵向模式如1qaz2wsx,3edc4rfv。短重复序列如aaabbb,112233。变形与替换规则对基础单词进行简单的字符替换自以为增加了安全性。Leet Speak黑客语用数字或符号替换形状相似的字母。如a-4或e-3i-1或!o-0s-5或$。password可能变为pssw0rd或p455w0rd。大小写变换首字母大写、全大写、或随机大小写混合。如ZhangSan,ADMIN。上下文相关密码密码与目标系统、业务或个人强相关。公司相关公司缩写年份 (ABC2024)、产品名序号 (product01)。个人相关生日 (19900101)、手机号后几位、车牌号、纪念日。注意实战中单一模式出现的概率正在降低但多种模式的组合与嵌套才是当前的主流。例如Zhangsan2024!就融合了“姓名大写特殊符号年份感叹号”四种模式。我们的crunch规则设计就是要模拟这种组合思维。2.2 信息收集是字典的“原料”巧妇难为无米之炊。没有高质量的信息输入再好的生成规则也是空谈。在渗透测试的授权范围内我们需要系统性地收集“原料”公开来源情报OSINT公司官网记录公司全称、缩写、品牌名、产品线、口号、创始年份。社交媒体如领英收集目标部门的关键员工姓名、职位、可能使用的英文名或昵称。招聘网站了解公司使用的技术栈如Oracle,VMware这些常被用作服务密码。目标系统本身网站错误信息有时会暴露出邮箱后缀如abc.com、用户名如dev_user。页面源码注释开发者留下的注释可能包含测试账号、内部项目代号。公开文档/API接口可能包含默认路径、默认参数名这些也可能被用作密码。将收集到的信息整理成一个结构化的列表例如基础词库[zhangsan, lisi, admin, root, oracle, test, company, abc]数字后缀[2024, 2023, 123, 456, 789, 888, 666, 生日年份]特殊字符[!, , #, $, %, , *, _]这个列表就是我们接下来驱动crunch的“燃料”。3. 技巧一精准控制字符集与长度告别盲目生成crunch最基本也最强大的功能就是通过字符集和长度参数来生成密码。但很多人只用默认的[a-z]或[0-9]这效率太低。3.1 理解crunch的核心语法先看一个最简单的命令生成所有6位纯数字密码crunch 6 6 0123456789 -o num_6.txt6 6最小长度和最大长度都是6。0123456789指定使用的字符集。-o num_6.txt将结果输出到文件。这个命令会生成从000000到999999共100万个密码。如果目标密码是6位数字这个字典是完备的但如果我们知道目标可能用了字母这就是在做无用功。3.2 技巧实战基于目标信息的字符集定制假设我们从OSINT得知目标公司名叫“星辰科技”StarTech员工常用英文名年份。我们可以设计一个高度定制的字符集。步骤1定义基础字符集我们不是用[a-z]而是用收集到的信息。员工名首字母小写slkb(假设员工有San, Li, Kevin, Bob)公司名缩写st(StarTech)常见英文名/昵称admin, test, oracle, root(但crunch字符集是单个字符这里需要换思路见技巧二)对于单个字符我们可以定义一个“高概率字符集”# 假设我们分析目标常用密码包含名字首字母、公司缩写字母、常见数字、和! custom_charsetslkbst0123456789!但这个字符集用于生成随机组合意义不大。更有效的方法是组合使用固定词条和可变字符集。步骤2使用-t参数进行模式化生成这才是关键。-t参数允许你使用占位符定义密码模式。代表小写字母,代表大写字母%代表数字^代表特殊字符假设我们想生成“小写英文名 2位年份 一个特殊符号”的密码模式是%%^。我们需要一个4位小写字母的英文名字典。这可以先通过其他方式准备如cewl爬取或手动列表或者用crunch生成所有4位小写字母组合但量很大。更务实的做法如果我们有已知的几个名字如san, li, kevin, bob我们应该用技巧二字典文件组合而不是用-t来暴力生成名字部分。因此-t更适合用于已知结构但部分位置字符可变的场景。例如我们知道目标系统强制要求“大写字母开头后跟5位数字以!结尾”模式就是,%%%%%!。crunch 7 7 -t ,%%%%%! -o pattern_pass.txt这个命令会生成从A00000!到Z99999!的所有可能密码非常精准。实操心得不要一上来就用大而全的字符集如-f /usr/share/crunch/charset.lst mixalpha-numeric-all-space。这会导致字典体积爆炸且绝大部分是无效组合。始终先尝试用-t定义你最怀疑的几种固定模式生成“高精度”字典进行第一轮测试。通常10%的精心设计的规则能覆盖80%的常见弱口令。4. 技巧二与外部字典文件联动实现词汇组合这是将crunch从“字符组合器”升级为“智能密码工厂”的核心技巧。crunch可以读取外部字典文件作为“词根”然后为其添加前后缀或进行组合。4.1 使用-q参数读取字典文件假设我们通过信息收集得到了一个基础用户名列表user_list.txtzhangsan lisi wangwu admin test oracle我们怀疑密码就是“用户名 常见数字后缀”。这时-q参数就派上用场了。crunch 8 10 -q user_list.txt -t %%%% -o user_num_dict.txt-q user_list.txt从user_list.txt中读取每一行作为“词根”。8 10限定生成密码的总长度在8到10位之间。-t %%%%这是一个相对模式。这里的不再代表“任意小写字母”而是代表从-q文件读取的整个词根。%%%%代表4位数字。整个命令的意思是为user_list.txt中的每一个词根后面拼接上从0000到9999的所有4位数字组合。执行过程解析crunch读取zhangsan8位。为其拼接0000生成zhangsan000012位超过最大长度10位被丢弃。这说明我们的长度参数设置不合理。zhangsan本身已8位只能再拼接最多2位数字8210。我们应该将模式改为-t %%或者增加最大长度。修正命令crunch 9 12 -q user_list.txt -t %% -o user_num_dict_v2.txt最小长度9zhangsan1位数字最大长度12zhangsan4位数字。模式%%词根 2位数字。这会为每个用户生成00到99的100个密码。4.2 进阶组合多个字典文件的笛卡尔积更强大的功能是-q可以指定多个文件crunch会为它们做笛卡尔积即所有可能的两两组合。假设我们有两个文件prefix.txt:admin, sys, rootsuffix.txt:123, 2024, !#我们想生成所有“前缀后缀”的组合crunch 0 0 -q prefix.txt suffix.txt -o combo_dict.txt0 0这里最小最大长度设为0是告诉crunch我们完全由-q文件的内容决定密码不额外添加模式。-q prefix.txt suffix.txt读取两个文件输出它们所有行的两两拼接。生成的内容将是admin123 admin2024 admin!# sys123 sys2024 sys!# root123 root2024 root!#这个功能极其有用你可以将收集到的“基础词”、“数字串”、“特殊符号串”分别放在不同文件然后自由组合模拟用户设置密码时的各种习惯。注意事项使用-q时务必注意长度控制。如果词根本身很长再拼接其他内容很容易超出系统或服务的密码长度限制常见为16或32位生成大量无效密码浪费计算和存储资源。最好先用wc -L命令检查字典文件中最长词条的长度。5. 技巧三利用字符集文件与模式应对复杂策略面对有复杂密码策略如必须包含大小写字母、数字、特殊字符的目标环境我们需要更精细的控制。Kali Linux自带的charset.lst文件和我们自定义的模式模板可以解决这个问题。5.1 使用预定义字符集文件在/usr/share/crunch/charset.lst中crunch预定义了许多字符集。crunch 8 8 -f /usr/share/crunch/charset.lst mixalpha-numeric-all -o complex_8.txt-f charset.lst指定字符集定义文件。mixalpha-numeric-all使用该文件中名为mixalpha-numeric-all的字符集通常包含大小写字母、数字和部分特殊字符。这个命令会生成所有8位由大小写字母、数字、特殊字符组成的密码数量极其庞大(262610符号数)^8仅供理论测试实战慎用。5.2 创建自定义字符集与模式文件实战中我们更倾向于自定义。首先创建一个字符集定义文件mycharset.lst# 定义字符集名称和内容 myupper ABCDEFGHIJKLMNOPQRSTUVWXYZ mylower abcdefghijklmnopqrstuvwxyz mydigit 0123456789 mysymbol !#$% mycommon aA4bBcC1dDeE3fFgGhHiI!jJkKlLmMnNoO0pPqQrRsS5$tTuUvVwWxXyYzZ上面定义了几个字符集其中mycommon是一个“高频率字符集”它包含了小写字母、对应的大写字母、常见的Leet Speak替换a/A/4, e/E/3, s/S/5和两个高频符号。这比全字符集更高效。接着创建一个模式文件mypattern.lst# 定义密码生成模式 mycommon,mycommon,mycommon,mydigit,mydigit,mydigit mysymbol,mycommon,mycommon,mycommon,mydigit,mydigit myupper,mylower,mylower,mylower,mydigit,mysymbol每一行代表一种密码模式字符集名称按顺序排列表示密码每一位的字符来源。最后使用它们生成字典crunch 6 6 -s Aa4b12 -e Zz5$98 -l mypattern.lst -f mycharset.lst -o smart_dict.txt-s Aa4b12设置起始密码。必须符合mypattern.lst中第一条模式的定义。这里Aa4b12对应第一条模式mycommon,mycommon,mycommon,mydigit,mydigit,mydigit。-e Zz5$98设置结束密码。-l mypattern.lst指定模式文件。-f mycharset.lst指定字符集文件。这个命令会从Aa4b12开始按照mypattern.lst中的模式顺序利用mycharset.lst中定义的字符集生成密码直到Zz5$98。它允许我们精细地控制密码的“形态”例如“前三位是常见字母/数字/符号变体后三位是纯数字”这种常见用户习惯。实操心得对于有明确密码策略如“至少一个大写、一个小写、一个数字、一个特殊字符共8位”的目标先用此方法生成一个符合策略的“种子字典”。虽然数量仍然不少但远比全字符集暴力组合小得多。可以将此字典与技巧二结合例如用-q读取公司缩写后面拼接这种符合策略的6位字符串。6. 技巧四管道组合与实时破解提升效率生成了字典最终目的是为了破解。将crunch的生成过程与破解工具如hydra,john,hashcat通过管道|连接可以实现“即产即用”避免生成巨大的字典文件占用磁盘空间也适合在需要时快速测试特定模式。6.1 基础管道操作最经典的用法是将crunch的输出直接传递给hydra进行暴力破解尝试。例如我们想测试一个SSH服务用户名已知为root怀疑密码是6位纯数字crunch 6 6 0123456789 | hydra -l root -p - ssh://192.168.1.100crunch 6 6 0123456789生成所有6位数字密码输出到标准输出stdout。|管道符将前一个命令的标准输出作为后一个命令的标准输入。hydra -l root -p - ...-p -表示从标准输入读取密码。这样crunch每生成一个密码hydra就立刻用它去尝试登录。一旦破解成功整个流程会自动停止。这非常适合快速验证“密码是否为某种简单模式”的假设。6.2 应对复杂场景与流量控制然而直接管道传输存在两个问题速度不匹配crunch生成密码的速度可能远快于hydra尝试网络登录的速度会导致管道缓冲区积压最终可能被系统终止。无持久化记录如果破解中途断开无法知道哪些密码已经尝试过。解决方案1使用-i参数减少输出缓冲crunch的-i参数可以改变输出顺序有时能缓解问题但根本的解决方案是控制速率。解决方案2使用pv命令监控管道流量如果系统已安装crunch 6 6 0123456789 | pv -L 10 | hydra -l root -p - ssh://192.168.1.100pv -L 10限制管道中数据的流速为每秒10行即10个密码。这可以防止hydra被淹没。解决方案3推荐生成小批量字典文件进行分段测试对于非纯数字的、较大的字典更稳妥的做法是分块生成和测试。# 生成前1000个密码进行测试 crunch 8 8 -f /usr/share/crunch/charset.lst mixalpha-numeric -s aaaaaaaa -e aaaabaaa -o dict_part1.txt hydra -l admin -P dict_part1.txt http-get-form://192.168.1.200/login.php:user^USER^pass^PASS^:Fincorrect通过-s和-e精确控制生成密码的范围。先测试一个小样本如果命中率极低可能需要调整生成策略字符集或模式避免长时间运行无效攻击。注意事项实时管道破解对网络服务的压力较大且容易被对方的入侵检测系统IDS发现。在授权的渗透测试中务必控制速率并选择非业务高峰时段进行。对于本地哈希文件破解如john或hashcat管道操作更为安全高效因为不涉及网络延迟。7. 技巧五优化输出与字典管理适应实战生成了字典如何管理和使用它同样影响实战效率。一个几十GB的字典加载到内存都困难更别说快速遍历了。7.1 压缩与分割大字典crunch生成的字典文件是纯文本压缩率很高。使用gzip或bzip2压缩可以节省大量磁盘空间。crunch 8 8 -f charset.lst mixalpha-numeric-all -o huge_dict.txt gzip huge_dict.txt # 生成 huge_dict.txt.gz像hashcat这样的现代破解工具支持直接读取.gz压缩文件非常方便。如果字典太大即使压缩后也不便操作可以将其分割成多个小文件。# 使用 split 命令分割字典文件 split -l 1000000 huge_dict.txt dict_part_ # 这会将 huge_dict.txt 按每100万行分割成多个文件命名为 dict_part_aa, dict_part_ab...在破解时可以写一个简单的循环脚本依次对每个分片字典进行尝试。7.2 字典去重与合并在多次测试中我们可能会生成多个有交集的字典。使用sort和uniq命令进行去重合并是必要的。# 合并两个字典并去重 cat dict1.txt dict2.txt | sort | uniq dict_merged_unique.txt # 如果想保留去重后的字典并按长度排序 cat dict1.txt dict2.txt | awk {print length, $0} | sort -n | cut -d -f2- | uniq dict_sorted_unique.txtawk命令用于在每行前添加长度信息sort -n按数字即长度排序cut命令移除添加的长度信息最后uniq去重。7.3 基于统计的字典裁剪与排序这是高阶技巧。如果我们在多次测试中积累了一些破解成功的密码可以分析这些“成功样本”的规律并以此优化字典。收集成功密码将所有破解成功的密码保存到一个文件success_passwords.txt。分析模式人工或使用简单脚本分析这些密码的共同点如都以年份结尾、都包含公司缩写等。重新生成基于分析出的新规律使用crunch的-t或-q参数生成更具针对性的“二代字典”。频率排序将最可能出现的密码模式如公司名2024生成的密码放在字典文件的最前面。因为hydra或john默认按顺序尝试这样能最快命中。例如如果我们发现10个成功密码里有8个以2023或2024结尾那么新的字典就应该把包含这些年份后缀的密码变体优先生成和排列。实操心得永远不要试图用一个“终极字典”解决所有问题。高效的实战流程是“生成-测试-分析-优化”的循环。每次测试后无论成功与否都要复盘哪些规则命中了哪些规则完全没用基于反馈不断精简和调整你的crunch参数和词库文件让字典越来越“聪明”体积越来越小命中率越来越高。一个好的渗透测试工程师背后一定有一套持续迭代的、高度定制化的字典生成流程和词库。8. 常见问题与排查技巧实录即使掌握了技巧在实际操作crunch时你仍可能会遇到一些“坑”。下面是我在多次实战中总结出来的典型问题及解决方法。8.1 问题命令执行后无输出或立即结束可能原因1长度参数设置矛盾。这是最常见的问题。例如你指定的字符集最小长度大于最大长度或者使用-t模式时模式字符串本身的固定长度超出了你设置的长度范围。排查仔细检查crunch [min] [max] ...中的min和max值。确保min max。对于-t模式计算模式中所有占位符和字面字符的总长度确保其在[min, max]区间内。可能原因2起始值(-s)已超过结束值(-e)。当你使用-s和-e限定范围时如果起始值在字典序上已经大于结束值crunch自然没有可生成的密码。排查检查-s和-e指定的字符串确保它们符合你定义的字符集顺序且-s小于-e。可能原因3输出被重定向但文件路径不可写。使用-o参数时如果指定的目录不存在或没有写入权限命令可能静默失败。排查检查-o参数后的文件路径确保目录存在且有写权限。可以先用touch /path/to/your/dict.txt测试一下。8.2 问题生成的字典文件异常巨大迅速撑满磁盘可能原因低估了组合爆炸的威力。这是新手最容易犯的致命错误。例如命令crunch 10 10 0123456789abcdefghijklmnopqrstuvwxyz会生成36^10约3.6e15个密码这是一个不可能完成的任务。预防与排查先估算在运行前用计算器估算一下可能的总数。crunch命令本身在开始生成前也会打印预估的行数务必关注这个数字如果数字后面跟的是GB或TB请立即CtrlC。使用-c参数试运行crunch 10 10 ... -c 1000只会生成前1000个密码并输出到屏幕不会写文件。你可以先用这个功能检查生成的内容是否符合预期。务必使用-o参数永远不要在不使用-o指定输出文件的情况下运行可能生成大量数据的crunch命令否则输出会打印到终端可能导致终端卡死或系统内存耗尽。8.3 问题与hydra等工具联用时破解速度慢或无结果可能原因1网络协议与服务本身慢。HTTP POST登录、SSH认证等本身就有网络延迟和协议开销。优化使用hydra的-t参数增加任务并行数如-t 16但不要超过目标服务的承受能力。考虑使用更高效的破解工具如针对特定服务如MySQL, RDP的专用破解器或者将哈希提取出来用hashcat在本地GPU上跑。可能原因2字典顺序不佳。最常用的密码可能藏在字典的末尾。优化如技巧五所述将高概率密码如收集到的目标相关信息生成的密码放在单独的小字典里优先尝试。可能原因3目标账户被锁定。很多系统有账户锁定策略连续失败多次后会临时锁定账户导致后续尝试全部无效。排查在hydra的输出中观察是否在某一刻之后所有尝试都立即失败。或者在测试前先用一个肯定错误的密码手动尝试几次看是否会触发锁定机制。应对如果存在锁定策略必须在hydra中使用-w或-W参数增加尝试间隔时间或者使用-f参数在第一次成功后就停止避免触发锁定。8.4 问题生成的密码包含不可见字符或格式错误可能原因字符集定义文件或命令行字符集中包含换行符、空格等不可打印字符。排查检查自定义的字符集文件mycharset.lst或直接在命令中输入的字符集字符串。确保其内容是你想要的字符没有多余的空格或换行。技巧在命令行指定字符集时用引号括起来是个好习惯如crunch 6 6 abc123!。对于文件可以用cat -A mycharset.lst查看是否包含特殊字符$表示行尾。8.5 速查表Crunch 常用参数与场景参数全称/含义典型应用场景示例min max密码最小/最大长度控制生成密码的长度范围crunch 6 8 ...生成6到8位密码charset字符集指定密码由哪些字符构成crunch 6 6 0123456789abcdef-o file输出到文件几乎必用保存结果-o passwords.txt-t ,%,^模式定义按固定模式生成小写%数字^符号-t %%%生成类似abc123的密码-q file读取字典文件将文件内容作为词根进行组合-q names.txt -t %%-s string起始字符串从特定密码开始生成-s aaaa99-e string结束字符串生成到特定密码停止-e zzzz00-c number生成数量仅生成指定数量的密码试运行-c 1000只生成1000个-f charset.lst指定字符集文件使用预定义或自定义的复杂字符集-f /path/to/charset.lst mixalpha-l pattern.lst指定模式文件使用文件定义多种复杂模式-l mypatterns.lst-i反转输出改变输出顺序有时可优化破解顺序与-t模式结合使用-z压缩输出生成后自动用gzip压缩文件-o dict.txt.gz -z最后记住crunch的本质是一个规则引擎。它的威力不在于暴力生成所有可能而在于你将多少关于目标的“情报”和“人性洞察”转化为精确的生成规则。把这5个技巧融合起来形成你自己的字典生成工作流你会发现密码破解不再是碰运气而是一场有策略的信息战。
