Стандартный словарь kali linux

Популярные словари для пентестинга

С тех пор как началась эволюция тестирования на проникновение, одной из привычных вещей стало получение злоумышленником пароля цели и использование ее аккаунта. В большинстве случаев атаки в фильмах и сериалах часто показываются как простое и быстрое действие, которое занимает всего несколько минут. Независимо от того, насколько простой взлом паролей следует выполнить, он всегда становится проклятием для веб-приложений. Сегодня есть некоторое подобие контроля над безопасностью веб-проектов с помощью CAPTCHA или ограничения скорости передачи данных, но все же многие атаки остаются возможными для выполнения. Одними из самых популярных среди них являются нападения на базе wordlists («списков слов» или «словарей»).

Что собой представляет wordlist?

Wordlist – это файл (в большинстве случаев текстовый, но не всегда), содержащий набор значений, которые злоумышленник использует для проверки корректности учетных данных. Всякий раз, когда хакер сталкивается с процессом аутентификации, он пытается обойти его, но если это невозможно, то ему нужно попробовать угадать и подобрать нужный вариант данных пользователя. У хакера есть список широко используемых учетных данных, чем и является wordlist . И вместо того, чтобы вручную вводить значения одно за другим, злоумышленник использует инструмент или скрипт для автоматизации данного процесса. Аналогично, в случае взлома хэш-значений специальная программа применяет списки слов и кодирует их записи в один и тот же хэш, а затем использует функцию сравнения строк для сопоставления полученных хэшей. Если совпадение найдено, то хэш считается взломанным. Следует сказать, что правильно подобранный wordlist является огромной угрозой для безопасности веб-приложения.

Словари Kali Linux

Поскольку Kali Linux был специально создан для проведения тестирования на проникновение, в системе есть всевозможные словари. Это происходит из-за того, что различные инструменты уже установлены в ОС для выполнения атак брутфорс для получения логинов, каталогов и не только. Теперь следует познакомиться с некоторыми из словарей из огромного арсенала wordlists, доступного на Kali Linux.

Wordlists находятся в каталоге «/usr/share» . Здесь нужно найти другой каталог « dirb » со списком слов, которые будут использоваться при применении инструмента drb для перебора каталогов. Кроме того, у пользователя есть dirbuster , который является аналогичным инструментом и способен выполнить такую же атаку брутфорс, но с некоторыми дополнительными опциями. Каталог « fern-wifi » поможет хакеру сломать аутентификацию Wi-Fi. Есть Metasploit , который использует словари для выполнения различных атак. Затем есть wordlist от nmap , который содержит слова, что можно применить при сканировании уровня безопасности конкретных служб. Стоит также отметить, что есть словарь « rockyou ». По умолчанию информация в нем сжата, нужно извлечь ее перед использованием этого списка слов. Он очень большой, содержит около 1,44,42,062 различных вариантов паролей, актуальных для многих учетных записей пользователей в Интернете. Наконец, есть каталог « wfuzz », словари в котором можно использовать вместе с инструментом wfuzz .

Расположение: /usr/share/wordlists

Источник

Kali Linux Wordlist: что вам нужно знать

А список слов можно назвать словарем паролей, поскольку он представляет собой набор паролей, хранящихся в виде простого текста. Kali Linux — это самый продвинутый дистрибутив для тестирования на проникновение. Он в первую очередь предназначен для тестирования на проникновение и цифровой криминалистики, поэтому финансируется и поддерживается Offensive Security.

Большинство списков слов Kali Linux можно загрузить в Интернете, в том числе те, которые представлены в этой статье. Кроме того, существует набор общих и необычных паролей, которые до сих пор или когда-то использовались реальными людьми. Помните, что вы также можете создать свой список слов, если хотите, или придерживаться уже составленных. Вордлисты получены в результате утечки данных, например, в результате взлома компании. Данные, украденные у взломанных компаний, попадают на такие сайты, как Pastebin, или продаются в темной сети.

Если вы собираетесь загрузить всю коллекцию списков слов, вы можете проверить их на Github.

Списки слов были разделены и отсортированы в алфавитном порядке, чтобы соответствовать минимальным требованиям GitHub к размеру загрузки.

Списки слов являются основным игроком в атаках паролей методом перебора. Новички и читатели, которые не знакомы с атаками методом грубой силы, представляют собой атаки, при которых сценарий многократно используется для попытки входа в систему до тех пор, пока не будет достигнут положительный результат. Затем вы можете использовать метод проб и ошибок, чтобы получить положительный результат разблокировки. Атаки методом грубой силы являются явными и могут заблокировать злоумышленника от его IP-адреса, если сервер правильно настроен.

Тестирование безопасности систем входа в систему направлено на блокировку злоумышленников, которые пытаются инициировать атаки на свои серверы и сообщать об увеличении трафика. Пользователи также должны убедиться, что их пароли более безопасны, чтобы не стать жертвами стремительно растущего числа злоумышленников из-за технологических достижений во всем мире.

Примечание: Жизненно важно изучить и понять, как проводятся атаки, чтобы помочь вам создать и обеспечить более жесткую политику паролей.

Kali Linux Wordlist

Kali Linux оснащен мощным инструментом для создания списков слов любой длины. Эта команда известна как Crunch. Это простая утилита командной строки. Инструмент содержит простой синтаксис, который можно настроить в соответствии с потребностями пользователей.

Примечание: Важно отметить, что списки могут быть обширными. Таким образом, они могут быстро заполнить ваш жесткий диск.

Как составить список?

Вам не нужно устанавливать crunch, поскольку это инструмент, который предустановлен в Kali Linux. Когда ваша операционная система Kali Linux будет включена и готова к работе, запустите crunch. Для стартапа мы создадим простой список, подобный показанному ниже:

Приведенная выше командная строка создаст список, содержащий все возможные комбинации чисел от нуля до девяти с дополнительным одним, двумя и тремя символами. Чтобы уточнить, важно понимать, что первое число должно содержать наименьшие комбинации символов. Например, в приведенном выше примере это односимвольный пароль, который не следует использовать ни на одном сайте, поскольку его легко обойти или взломать.

Второе число содержит самую длинную комбинацию символов. В нашем примере это три. Итак, инструмент кранч поможет сгенерировать возможную комбинацию из трех предоставленных символов.

Последняя часть содержит список всех персонажей, используемых crunch для создания возможных комбинаций. Этот список меньше; следовательно, вы можете запустить его, но размер списка в конечном итоге увеличится, как только вы добавите дополнительный или больший размер символа. Таким образом, важно учитывать максимальный комбинированный размер, поскольку он увеличивает общий размер списка, который может быстро заполнить ваш жесткий диск.

Хотя описанный выше сценарий может показаться нереальным, он может помочь разблокировать телефоны или некоторые аксессуары в этом роде. Однако для более сложных и реалистичных комбинаций мы будем использовать синтаксис ниже:

кранч 3 5 0123456789abcdefghijklmnopqrstuvwxyz

Приведенная выше команда сгенерирует возможные трех-, четырех- и пятизначные комбинации чисел от нуля до девяти и строчных букв алфавита от a до z. Хотя сгенерированные комбинации паролей будут короткими, сгенерированные списки будут огромными.

Примечание: Аппаратные и программные ресурсы вашего компьютера должны соответствовать требованиям для выполнения более сложных комбинаций. Например, для следующего примера ваш компьютер должен иметь отличные ресурсы для проверки безопасности паролей.

кранч 3 10 0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ

ВНИМАНИЕ . Не запускайте указанную выше команду. Эта команда сгенерирует список файлов, которые мгновенно заполнят ваш жесткий диск, и сделает его практически непригодным для использования. Однако яркая сторона этой комбинации заключается в том, что она проверяет каждый пароль, содержащий от трех до десяти символов, используя комбинацию букв верхнего и нижнего регистра плюс все числа.

Как сделать вывод списка слов?

До сих пор мы выводили числа на экран, что не очень полезно, учитывая, что наша тема — списки слов. Следовательно, мы должны создать текстовый файл, который можно использовать с другой программой. Crunch, инструмент, который мы представили ранее как встроенную утилиту, поможет создать вывод в текстовом файле.

crunch 3 5 0123456789abcdefghijklmnopqrstuvwxyz -o Documents / pass.txt

Флаг -o, добавленный к приведенной выше команде, создаст правильно отформатированный текстовый файл в указанном месте назначения, которым является папка Documents.

Однако есть и другие способы вывода комбинаций в виде текста. Например, у пользователя может быть хороший список слов, содержащий популярные плохие пароли. В этом случае они должны использовать список слов по умолчанию, включенный в Kali Linux, известный как rockyou.txt, который можно найти здесь /usr/share/wordlists. Чтобы сохранить комбинации паролей в этот текстовый файл, сначала необходимо его распаковать.

В некоторых случаях пользователь может захотеть добавить сгенерированный список слов в уже существующий файл rockyou.txt, чтобы иметь возможность предоставить возможность дополнительного тестирования за один раз. В этом случае пользователь перенаправит вывод кранча в файл, как показано ниже:

кранч 3 5 0123456789abcdefghijklmnopqrstuvwxyz >> /usr/share/wordlists/rockyou.txt

Перед выполнением приведенной выше команды убедитесь, что у вас достаточно места, поскольку сгенерированный файл будет огромным, чтобы можно было проверить различные возможности.

Как извлечь или распаковать файл списка слов RockYou

Как уже упоминалось, список слов по умолчанию или встроенный в Kali Linux — RockYou, и его можно найти в /usr/share/wordlists. Этот файл сжат с помощью Gzip. Поэтому, чтобы извлечь его для использования, мы будем следовать процедурам, приведенным ниже:

Шаг 1. Откройте свой терминал

Шаг 2: перейдите в каталог RockYou, используя следующую командную строку:

cd / usr / share / wordlists

Шаг 3. Используйте команду ls, чтобы проверить файл RockYou

Шаг 4: Теперь, используя команду gunzip, извлеките файл, выполнив команду ниже в открытом окне терминала.

Примечание: Команда sudo используется, чтобы избежать ошибки «доступ запрещен».

Шаг 5. Используя команду ls, еще раз проверьте, был ли извлечен исходный файл rockyou.txt.gz.

Примечание: отсюда вы можете скачать готовые списки слов и списки паролей, распаковать их и выбрать комбинацию списков слов, которую вы предпочитаете использовать.

Заключение

Это было краткое руководство по словарям Kali Linux. Мы считаем, что статья помогла вам понять концепцию списков слов, как их загружать, создавать, генерировать и даже использовать. Если вы нашли статью полезной, не забудьте поставить отметку «Нравится» в разделе комментариев. Спасибо за прочтение.

Kali Linux NetHunter: все, что вам нужно знать

Kali Linux NetHunter — первая платформа для тестирования Android-устройств на проникновение. NetHunter — это проект с открытым исходным кодом, что означает, что разработчики могут свободно использовать его без нарушения авторских прав или любых др.

Лучшие инструменты грубой силы для теста на проникновение

В мире интернет-безопасность, часто можно много говорить о потребности в этических хакерах или просто экспертах по безопасности в организациях, которые нужен лучший в практике безопасности и обнаружения уязвимостей, который гарантирует набор инстр.

Как установить GNOME на Kali Linux

граммNOME — это бесплатная среда рабочего стола с открытым исходным кодом. Впервые он был разработан и выпущен еще в 1999 году. Название ГНОМ является аббревиатурой от GNU Network Object Model Environment. Проект был направлен на создание бесплатн.

Источник