i春秋:揭秘FTP口令安全—利用“hscan”工具的测试

• 实验环境
  • 操作机：Windows XP
  • 目标机：Windows 2003
  • Windows FTP
• 实验工具
  • Hscan

实验目的

本课程带领大家通过实验使用Hscan破解FTP口令，从而帮助大家提高自身的口令防御能力。

实验思路

1. 测试主机FTP服务状态
2. 使用Hscan图形模式验证FTP口令强度
3. 使用Hscan命令模式验证FTP口令强度
4. FTP口令加固与防御的理论方案
5. FTP口令加固与防御
6. 验证FTP口令加固状况

实验步骤

1

测试主机FTP服务状态

开始->运行中输入CMD打开CMD命令窗口。

在命令行中输入FTP 目标IP地址查看返回是否为FTP登陆认证界面。

确认开启FTP服务并返回登录认证界面。

2

使用Hscan图形模式验证FTP口令强度

在Hscan图形模式中点击菜单，选择模块设置扫描模版。

在Hscan图形模式中点击菜单，选择设置，设置扫描参数。

点击菜单，选择开始，破解FTP口令。

3

使用Hscan命令模式验证FTP口令强度

在Hscan命令模式中使用-h参数验证FTP口令强度。

在Hscan命令模式中创建IP字典。

在Hscan命令模式中使用-f参数，加载字典验证FTP口令强度。

连接FTP服务器，验证破解结果，登录成功则结果正确。

使用dir查看ftp服务器目录。

4

FTP口令加固与防御的理论方案

1.不使用常用的口令

2.口令长度不少于8位

3.字母数字符号混合使用

4.定期更换口令

5.更改口令文件存放位置

6.不使用同一个口令

5

FTP口令加固与防御

修改FTP密码，增加口令强度，防止暴力破解，最终完成密码为g3lsbz4jbh4#。

修改Windows自带FTP账号的密码方式与修改系统用户中的管理员密码的方式一样。我的电脑右键打开计算机管理，在计算机管理中的系统工具-本地用户和组-用户中列有所有系统自带FTP账号列表，选中其右键修改代码即可。

6

验证FTP口令加固状况

在Hscan图形模式中点击菜单，选择模块设置扫描模版。

在Hscan图形模式中点击菜单，选择设置，设置扫描参数。

点击菜单，选择开始，破解FTP口令。

无法再次破解FTP口令，证明加固成功。