滲透測試中獲取用戶賬號密碼的方法有哪些

滲透測試中獲取用戶賬號密碼的方法有以下這些：

• 利用目標主機的Finger功能：當用finger命令查詢時，主機系統會將保存的用戶資料顯示到終端或者計算機上。這里的用戶資料通常是一些用戶名、登錄時間等之類的。

• 利用目標主機的X.500服務：有些主機沒有關閉X.500的目錄查詢服務，這給攻擊者也提供了一種獲取信息的途徑。

• 從電子郵件中收集：有些用戶的電子郵件地址經常透漏其在目標主機上的賬號，而且由于許多的系統會使用一些習慣性賬號，從而造成賬號的泄露。所以大家千萬不可一個密碼多個賬號共同使用，一定要每個賬號設置不同密碼，千萬不要為了圖省事，為以后的賬號留下安全隱患。

• 通過網絡監聽獲取用戶口令：這類方法危害性極大，雖然功能少，但是監聽者往往采用中途攔截的方法，獲取用戶賬號和密碼，以往的很多協議都沒有采用加密或者身份認證的技術，比如Telnet、FTP、HTTP、SMTP等傳輸協議中，用戶賬號和密碼信息都是以明文的形式進行傳輸的，根本沒有采用任何加密的技術，攻擊者很容易利用數據包截取工具就可以收集到用戶的賬號和密碼。

• 知道用戶賬號后利用專門軟件強行破解用戶口令：這類方法不會受到網絡限制，需要攻擊者有足夠的耐心和時間。比如采用暴力破解，來破解用戶的密碼，攻擊者可以通過一些工具程序來自動從電腦字典中取出一個單詞，作為用戶的口令，再輸入給遠端的主機，申請進入系統。如果口令錯誤，則只需再一個一個嘗試，直到輸入正確為止。

回答所涉及的環境：聯想天逸510S、Windows 10。