弱口令检测工具：John the Ripper

John the Ripper是一款弱口令检测工具，或是口令爆破工具。

弱口令由r于其简单性，容易被恶意猜测得到用户的口令，造成经济损失。这款工具能帮助我们检测到弱口令，提前做好防护措施。

此工具在kali linux中自带。

今天的实验环境是rhel6.5(Red Hat Enterprise Linux 6.5)  ，rhel中没有集成此款工具需要我们自己去下载安装，今天我们来演示一下整个过程：

一、下载此工具到opt目录下

/opt目录通常是用来存放各种应用软件。

二、解压John the Ripper

tar xvzf john-1.8.0.tar.gz

三、切换进入到src目录下

cd john-1.8.0/src

四、安装John the Ripper

make clean linux-x86-64

五、查看默认的密码字典文件

cd ../run        #跳转到run目录下
more password.lst

我们可以查看该工具中包含的弱口令的数目：

该工具自带有3546个弱口令，足以检测生活中常用的弱口令了。

用户也可以用自己定义的弱口令字典：--worllist=/root/password.txt（用法后面说）

六、复制系统账户的口令文件

cd /etc/shadow  /root/shadow.txt

注意不要对shadow文件进行直接操作。

/root/shadow.txt       #复制的Linux系统的账户密码文件

七、进行弱口令扫描

./john /root/shadow.txt --wordlist=/root/password.txt(指定的弱口令字典)

从结果来看，弱口令已经被检测出来了。弱口令检测的成功与否取决于口令字典是否强大。

再次也提醒大家，口令尽量设置的复杂一些，谨防被他人恶意破解。