Где хакеры/пентестеры берут словари паролей для брутфорс атак?

Словари паролей (также называемые wordlists) — это заранее подготовленные текстовые файлы, содержащие списки слов, которые могут использоваться для перебора паролей. Они являются неотъемлемой частью атак методом перебора (brute-force) или словарных атак.

Посмотрите эти словари. Возможно там есть и ваш пароль? Тогда точно стоит сменить.

Подписывайтесь на мой канал в Телеграмм, чтобы ничего не пропустить.

Где берут словари паролей?

Есть несколько источников, откуда можно получить готовые словари паролей:

1. Готовые словари из популярных репозиториев

SecLists

• Это один из самых популярных и обширных наборов словарей для тестирования, включающий пароли, логины, URL, шаблоны и многое другое.
• Репозиторий находится на GitHub: SecLists на GitHub
• Установка через Git:

git clone https://github.com/danielmiessler/SecLists.git

Примеры словарей из этого набора:

Passwords/Common-Credentials/10-million-password-list-top-100000.txt — популярные пароли.

Passwords/darkweb2017-top1000.txt — пароли, утекшие в сеть.

Usernames/top-usernames-shortlist.txt — логины.

RockYou

• Один из самых известных словарей паролей, который был извлечён из утечки базы данных RockYou в 2009 году.
• Входит в стандартный набор инструментов Kali Linux и обычно доступен в папке /usr/share/wordlists/rockyou.txt (но нужно предварительно разархивировать):

gunzip /usr/share/wordlists/rockyou.txt.gz

Если вы не используете Kali Linux, вы можете скачать его вручную: RockYou на GitHub

Weakpass

• Это постоянно обновляемая база данных слабых паролей и словарей.
• Сайт: Weakpass
• Пример словарей:weakpass_2 — общий словарь слабых паролей.
  weakpass_3 — расширенный словарь.

2. Генераторы словарей

Если готовых словарей хакеру или пентестеру недостаточно или они не подходят для конкретной задачи, можно создать свои собственные с помощью инструментов для генерации словарей.

Crunch

• Crunch — это простой инструмент для создания кастомных словарей.
• Установка (на Kali Linux или Ubuntu/Debian):

sudo apt install crunch

Пример использования:

• Генерация всех возможных паролей длиной от 6 до 8 символов, содержащих буквы и цифры:

crunch 6 8 abcdef123456 > custom_wordlist.txt

• Генерация паролей длиной 10 символов, начинающихся с "admin":

crunch 10 10 -t admin@@@@@ > custom_wordlist.txt

Опция -t используется для указания шаблона: @ — любая буква или цифра, % — только цифра, ^ — только буква.

Cewl

• Cewl — инструмент для создания словарей на основе текстового контента веб-сайтов.
• Установка:

sudo apt install cewl

Пример использования:

• Сканирование сайта и создание словаря:

cewl http://example.com > website_wordlist.txt

3. Форумы и сообщества

• Reddit:

На сабреддите r/wordlists пользователи делятся новыми словарями и обсуждают их.

• Openwall:

Сайт предоставляет словари и инструменты для взлома паролей.
Ссылка: Openwall Wordlists

• Exploit Database:

В разделе "Wordlists" можно найти различные словари.
Ссылка: Exploit Database Wordlists

4. Утечки данных (Data Breaches)

Словари также можно создавать из реальных утечек данных, которые часто содержат миллионы паролей. Однако использовать их стоит только в легальных целях.

• Have I Been Pwned:

Сервис, где можно узнать, были ли ваши данные скомпрометированы.
Have I Been Pwned

• Hashes.org:

Сообщество для анализа утечек паролей и хэшей.
Hashes.org

⚠️ Важно: Использование данных из утечек может быть незаконным в некоторых юрисдикциях. Всегда проверяйте законы в вашем регионе.

5. Онлайн-ресурсы

• GitHub:На GitHub можно найти множество репозиториев со словарями. Например, ParrotSec Wordlists.
  
• Kali Linux Wordlists:

Kali Linux включает в себя небольшой набор готовых словарей, которые находятся по пути:

/usr/share/wordlists/

Примеры:

rockyou.txt — популярный словарь.

dirb/common.txt — словарь для сканирования директорий.

6. Создание кастомных словарей

Объединение словарей

При желании можно объединить несколько словарей в один:

cat wordlist1.txt wordlist2.txt > combined_wordlist.txt

Удаление дубликатов

Для удаления повторяющихся строк в словаре:

sort combined_wordlist.txt | uniq > clean_wordlist.txt

Фильтрация паролей по длине

Чтобы оставить только пароли длиной от 8 до 12 символов:

awk 'length($0) >= 8 && length($0) <= 12' clean_wordlist.txt > filtered_wordlist.txt

Простая задачка по криптографии

Решил добавить новый раздел в статьи, чтобы было чуть интереснее.

Предлагаю расшифровать цитату Кевина Митника:

фэсыапаттядийоонурлпбеяуыриккю-отро.

Сможете без подсказки? Решение (цитату) пишите в комментариях.

Заключение

Словари — это ключевой инструмент для атак методом перебора и тестирования безопасности. Используйте готовые словари из надёжных источников, таких как SecLists, RockYou и Weakpass, или создавайте свои собственные с помощью инструментов вроде Crunch и Cewl. Однако помните, что использование таких инструментов без разрешения владельца системы является незаконным.

Поддержать блог можно лайком и комментарием. А если хочется сделать больше, можно кинуть монетку на кофе.

Раз вы прочитали эту статью, скорее всего вам будет интересен весь раздел про Анонимность в сети, а также Инструменты хакера / пентестера

Если Вам интересно, что еще можно найти на канале QA Helper, прочитайте статью: Вместо оглавления. Что вы найдете на канале QA Helper - справочник тестировщика?

Не забудьте подписаться на канал, чтобы не пропустить полезную информацию: QA Helper - справочник тестировщика

Пишите в комментариях что еще было бы интересно рассмотреть более подробно.