今天讨论的是信息安全的问题,具体是关于西电的校园网账号和密码。自己当时写了一个工具,距今也半年多了,现在想跟大家分享一下。
首先打开西电校园网的计费系统(当然只能内网能进):
http://zyzfw.xidian.edu.cn/index.php
就是这个页面,需要输入用户名,密码和验证码。
用户名是学号,密码默认是身份证后六位,也就说最大值是320000,验证码是4位数字。
在火狐浏览器上打开这个网址,并且打开firebug插件,咱们进行登陆抓包。
大家可以看到用户名,密码和验证码都是通过明文发送,这样就把暴力破解的难度降低了。
接下来暴力破解的难度就在于验证码了。如果想快速的破解密码,程序中必然要用到多线程,所以自动识别验证码是必然的,不可能人力来输入。那这个验证码是否安全呢?答案是否定的。首先验证码是四位数字,接着图片上的杂点太容易被去除了(这是我学习图像工程的结果)。于是我选择使用次时代识别引擎进行训练来识别验证码,训练了十几组,成功率达到了98%,已经满足要求。
最后需要写个程序来模拟post请求,进行暴力破解就OK了。下面是我写的程序的运行情况。
我先破解一下我自己的:
所以西电的同学们如果你们还在使用默认的密码,你们就危险了。
上年我师兄师姐的密码,我基本上已了然于胸,嘿嘿嘿。。。。
工具的链接: http://pan.baidu.com/s/1jHx8d6m 密码:lsb5