10个DefaultCreds-cheat-sheet高效使用技巧,提升安全测试效率
10个DefaultCreds-cheat-sheet高效使用技巧,提升安全测试效率
【免费下载链接】DefaultCreds-cheat-sheetOne place for all the default credentials to assist the Blue/Red teamers activities on finding devices with default password 🛡️项目地址: https://gitcode.com/gh_mirrors/de/DefaultCreds-cheat-sheet
在网络安全测试和渗透测试中,寻找设备的默认凭据是蓝队和红队人员的重要工作之一。DefaultCreds-cheat-sheet作为一款强大的默认凭据查询工具,汇集了来自多个来源的3668条设备默认登录信息,涵盖了1347个不同厂商的产品。本文将为您分享10个高效使用技巧,帮助您快速提升安全测试效率。😊
1. 快速安装与配置方法
DefaultCreds-cheat-sheet提供了多种安装方式,最简单的是通过pip直接安装:
pip3 install defaultcreds-cheat-sheet或者,您也可以手动克隆仓库并安装:
git clone https://gitcode.com/gh_mirrors/de/DefaultCreds-cheat-sheet cd DefaultCreds-cheat-sheet pip3 install -r requirements.txt cp creds /usr/bin/ && chmod +x /usr/bin/creds2. 基础搜索技巧:快速查找设备默认凭据
使用creds search命令可以快速查找特定设备的默认凭据。例如,查找Tomcat的默认凭据:
creds search tomcat该命令会返回所有包含"tomcat"关键词的设备凭据,包括用户名和密码信息。搜索支持模糊匹配,即使您只知道设备的部分名称也能找到相关结果。
3. 高级搜索技巧:使用代理和导出功能
在需要代理访问的环境中,您可以使用--proxy参数:
creds search tomcat --proxy=http://localhost:8080更强大的是,您可以将搜索结果导出为文件,方便后续的暴力破解测试:
creds search tomcat export这个命令会在/tmp/目录下生成tomcat-usernames.txt和tomcat-passwords.txt两个文件,分别包含用户名和密码列表。
4. 数据库更新与维护技巧
默认凭据数据库会不断更新,保持数据库最新状态很重要:
creds update您也可以结合代理使用更新功能:
creds update --proxy=http://localhost:80805. 使用Pass Station增强搜索功能
noraj开发的Pass Station工具提供了更强大的搜索功能,支持字段筛选、正则表达式匹配、高亮显示和多种输出格式(JSON、YAML、CSV等)。您可以使用它来更高效地查询默认凭据数据库。
6. SSH密钥管理技巧
项目中的ssh_keys/目录包含了多种产品的默认SSH密钥,这些密钥是从routersploit项目中提取的。这些密钥对于访问特定设备非常有用,包括:
- Array Networks VAPV/VXAG
- Barracuda Load Balancer VM
- Ceragon FibeAir (CVE-2015-0936)
- F5 BIG-IP (CVE-2012-1493)
- Quantum DXi V1000
7. 数据统计与分析技巧
使用项目中的stats.py脚本可以快速分析数据集:
python3 stats.py该脚本会显示数据集的统计信息,包括产品数量、唯一用户名和密码数量等关键指标。
8. 贡献与数据更新技巧
如果您发现缺少某个设备的默认凭据,可以按照CONTRIBUTING.md中的指南提交贡献:
- 空密码或空用户名使用
<blank>表示 - 按字母顺序排序产品/厂商
- 添加新条目前检查重复项
9. 集成到自动化脚本的技巧
您可以将DefaultCreds-cheat-sheet集成到自动化测试脚本中。例如,创建一个简单的Python脚本来自动搜索多个设备:
import subprocess import json devices = ["tomcat", "apache", "cisco", "dell"] for device in devices: result = subprocess.run(["creds", "search", device], capture_output=True, text=True) print(f"Results for {device}:") print(result.stdout)10. 安全测试最佳实践
在使用DefaultCreds-cheat-sheet进行安全测试时,请记住以下最佳实践:
- 合法授权:仅在拥有合法授权的环境中使用
- 教育目的:主要用于学习和教育目的
- 风险评估:了解使用默认凭据测试的风险
- 及时修复:发现漏洞后及时通知相关方修复
- 遵守OWASP指南:参考OWASP测试指南
总结
DefaultCreds-cheat-sheet是网络安全专业人员的宝贵资源,通过掌握这10个高效使用技巧,您可以显著提升安全测试效率。无论您是蓝队成员负责防御,还是红队成员进行渗透测试,这个工具都能为您提供强大的支持。记住,安全测试的核心目标是保护系统安全,请始终在合法授权的范围内使用这些工具。🛡️
项目资源:
- 主数据文件:DefaultCreds-Cheat-Sheet.csv - 包含3668条默认凭据记录
- 命令行工具:creds - 主要的查询工具
- SSH密钥目录:ssh_keys/ - 默认SSH密钥集合
- 贡献指南:CONTRIBUTING.md - 如何添加新的默认凭据
- 统计脚本:stats.py - 数据分析工具
【免费下载链接】DefaultCreds-cheat-sheetOne place for all the default credentials to assist the Blue/Red teamers activities on finding devices with default password 🛡️项目地址: https://gitcode.com/gh_mirrors/de/DefaultCreds-cheat-sheet
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考