★AccessDiver的基本设置
点击Settings主页卡,下面会显示7个分页卡,让我们来逐个了解它们的功能。
▲Access分页卡
Analysis accuracy框中的两项,通常情况下都可以勾选。
Temporisation延迟选项框一般不需要勾选。如果勾选,下面会出现两个输入框,Try ×× logins then wait ×× seconds,意思是尝试××个密码组合后等待××秒钟。这样会使验证的过程变得十分缓慢。
Disable fake login detection during a [Standard] security test在标准模式(弹出式入口)测试时禁用fake探测功能。这个选项一般也不需要勾选,因为取消fake探测后可能会出现很多假密码。
GET Method框中,Use GET Method to do Standard testing使用GET方法进行标准模式(弹出式入口)测试。这个功能大部分情况下都不需要勾选。但是,对一些比较特殊的网站仍然需要这个方法。至于什么网站需要用这种方法,自己擦亮眼睛、竖起耳朵,多看多听别人的交流讨论。
Stop a security test after框中,可以选择跑出几个密码就收手,当然你也可以勾选Never Stop-Continue untill the end永不停止一直跑完整个字典。Stop on Fake replies出现fake时停止,Stop on proxy skips出现代理跳过时停止,这两项就不要勾选了,因为这两种情况都很常见,勾选这两项会使你根本无法进行下去。
What to do with redirections框中,是针对redirection重定向进行专门设置的。关于这个设置的意义,我会在弹出式入口那篇文章里进行详细解释。
BOT max timeout框中,可以设置线程超时的最大时间。如果你的网络状况不好,代理速度较慢,可以适当增大框中的数字。
▲Search分页卡
Word size control框中,如果勾选Use this feature during a search,可以对用户名和密码的长度加以限制。在某些情况下这个功能是非常有用的,比如你已经知道目标网站的密码格式是6-8位的数字或字母,那么,超过这个长度的密码不用验证也是无效的。使用这个功能可以排除那些不合规格的密码,这样不但可以缩短验证时间,也可以减少代理损失。
What to do with logins found,可以选择在跑出有效密码后不作特殊处理,或者把它们移到字典的最前面。
Test all possible combinations(=invert of combo)测试所有可能的组合。默认状态下AD字典中用户名和密码是一一对应的。如果你勾选这个功能,AD将会尝试当前字典中用户名和密码的所有可能组合。换句话说,就是用username list中的每一个用户名,去尝试password list中的所有密码。在选用这项功能以前,最好估计一下你的用户名和密码列表经过随机组合,大概会产生多少种可能组合。如果你的username list和password list都不小,那么随机组合产生的结果会庞大的让你吃惊,你根本不可能有那么多代理和时间去完成验证。也许这种方法只在知道有效用户名的情况下才值得去尝试。假设你得到几个有效的用户名,可以制作一些随机密码,然后选用这个功能,让AD用那几个用户名去组合密码列表中所有的密码进行验证。
▲Manipulation分页卡
如果勾选Use only word manipulation,下面就会显示功能框。在这里可以对字典进行一些特殊处理。比如给每个用户名或密码统一加上后缀字符。假如不需要这个功能就不要勾选此项。
▲Extras分页卡
Auto-Clipboard下拉框中,可以选择将一些结果自动复制到剪贴板中。
Duplicate Remover框中,可以勾选Don’t test word case......不测试大小写不同而用户名、密码相同的组合。不过一般情况下我们不需要这个功能。
Shutdown the computer after the end of all tests,勾选此项则完成所有验证后自动关闭计算机
Misc Options框内,不选Show infosBox at startup可以去掉AD的启动画面。
发表于 2006-12-27 09:29:00
发表于 2006-12-27 10:47:32
发表于 2006-12-27 11:56:36
