• XSS.stack #1 – первый литературный журнал от юзеров форума

Как быстро собрать из масы паролей рабочий словарь?

Отслеживать

CookieG

floppy-диск
Пользователь
Регистрация
24.10.2024
Сообщения
5
Реакции
1
Недавно была утечка форти, откуда можно было вытащить много логинов\паролей
Как можно из этого месива собрать рабочий словарь для спрей брута с норм кряк рейтом?
 
CookieG сказал(а):
Как можно из этого месива собрать рабочий словарь для спрей брута
rand помоему писал здесь статью про сортировку, поищи
 
Laitovo сказал(а):
https://xss.pro/threads/127780/
https://xss.pro/threads/123192/

что-то из этого?
А самому не судьба почитать? второе
 
CookieG сказал(а):
Недавно была утечка форти, откуда можно было вытащить много логинов\паролей
Как можно из этого месива собрать рабочий словарь для спрей брута с норм кряк рейтом?
гдето видел эту утечку?
 
CookieG сказал(а):
Как можно из этого месива собрать рабочий словарь
Есть такое понятие как мутации, например добавление к распространеному паролю в конец символ "!" - password!
+ Первый символ пароля сделать заглавным: Password!
Eсли ты можешь глянуть политику паролей на винде "net accounts" и узнать минимальную длинну тогда ты можешь отсечь пароли которые короче.
Если ты знаешь дату рождения владельца аккаунта через OSINT: Password1981!
Есть разные инстурменты:
CeWL – собирает слова с веб-сайтов и создает кастомные словари.
Crunch – генератор словарей с возможностью задавать маски и шаблоны.
Mentalist – GUI-инструмент для создания словарей с мутациями.

если нужно брутить хэши то там в хэшкате и джонике уже готовых правил хватает:

Код: 
└─$ ls -lha /usr/share/hashcat/rules
total 2.8M
drwxr-xr-x 3 root root 4.0K Jan  4 20:17 .
drwxr-xr-x 9 root root 4.0K Jan  4 20:17 ..
-rw-r--r-- 1 root root  933 Apr 24  2024 best64.rule
-rw-r--r-- 1 root root  754 Apr 24  2024 combinator.rule
-rw-r--r-- 1 root root 197K Apr 24  2024 d3ad0ne.rule
-rw-r--r-- 1 root root 770K Apr 24  2024 dive.rule
-rw-r--r-- 1 root root 473K Apr 24  2024 generated2.rule
-rw-r--r-- 1 root root  77K Apr 24  2024 generated.rule
drwxr-xr-x 2 root root 4.0K Jan  4 20:17 hybrid
-rw-r--r-- 1 root root 303K Apr 24  2024 Incisive-leetspeak.rule
-rw-r--r-- 1 root root  35K Apr 24  2024 InsidePro-HashManager.rule
-rw-r--r-- 1 root root  21K Apr 24  2024 InsidePro-PasswordsPro.rule
-rw-r--r-- 1 root root  298 Apr 24  2024 leetspeak.rule
-rw-r--r-- 1 root root 1.3K Apr 24  2024 oscommerce.rule
-rw-r--r-- 1 root root 295K Apr 24  2024 rockyou-30000.rule
-rw-r--r-- 1 root root 1.6K Apr 24  2024 specific.rule
-rw-r--r-- 1 root root 1.3K Apr 24  2024 T0XlC_3_rule.rule
-rw-r--r-- 1 root root  63K Apr 24  2024 T0XlC-insert_00-99_1950-2050_toprules_0_F.rule
-rw-r--r-- 1 root root 165K Apr 24  2024 T0XlC_insert_HTML_entities_0_Z.rule
-rw-r--r-- 1 root root 2.0K Apr 24  2024 T0XlC-insert_space_and_special_0_F.rule
-rw-r--r-- 1 root root  34K Apr 24  2024 T0XlC-insert_top_100_passwords_1_G.rule
-rw-r--r-- 1 root root  34K Apr 24  2024 T0XlC.rule
-rw-r--r-- 1 root root 193K Apr 24  2024 T0XlCv2.rule
-rw-r--r-- 1 root root   45 Apr 24  2024 toggles1.rule
-rw-r--r-- 1 root root  570 Apr 24  2024 toggles2.rule
-rw-r--r-- 1 root root 3.7K Apr 24  2024 toggles3.rule
-rw-r--r-- 1 root root  16K Apr 24  2024 toggles4.rule
-rw-r--r-- 1 root root  48K Apr 24  2024 toggles5.rule
-rw-r--r-- 1 root root  55K Apr 24  2024 unix-ninja-leetspeak.rule
 
xargs сказал(а):
Есть такое понятие как мутации, например добавление к распространеному паролю в конец символ "!" - password!
+ Первый символ пароля сделать заглавным: Password!
Eсли ты можешь глянуть политику паролей на винде "net accounts" и узнать минимальную длинну тогда ты можешь отсечь пароли которые короче.
Если ты знаешь дату рождения владельца аккаунта через OSINT: Password1981!
Есть разные инстурменты:
CeWL – собирает слова с веб-сайтов и создает кастомные словари.
Crunch – генератор словарей с возможностью задавать маски и шаблоны.
Mentalist – GUI-инструмент для создания словарей с мутациями.

если нужно брутить хэши то там в хэшкате и джонике уже готовых правил хватает:

Код: 
└─$ ls -lha /usr/share/hashcat/rules
total 2.8M
drwxr-xr-x 3 root root 4.0K Jan  4 20:17 .
drwxr-xr-x 9 root root 4.0K Jan  4 20:17 ..
-rw-r--r-- 1 root root  933 Apr 24  2024 best64.rule
-rw-r--r-- 1 root root  754 Apr 24  2024 combinator.rule
-rw-r--r-- 1 root root 197K Apr 24  2024 d3ad0ne.rule
-rw-r--r-- 1 root root 770K Apr 24  2024 dive.rule
-rw-r--r-- 1 root root 473K Apr 24  2024 generated2.rule
-rw-r--r-- 1 root root  77K Apr 24  2024 generated.rule
drwxr-xr-x 2 root root 4.0K Jan  4 20:17 hybrid
-rw-r--r-- 1 root root 303K Apr 24  2024 Incisive-leetspeak.rule
-rw-r--r-- 1 root root  35K Apr 24  2024 InsidePro-HashManager.rule
-rw-r--r-- 1 root root  21K Apr 24  2024 InsidePro-PasswordsPro.rule
-rw-r--r-- 1 root root  298 Apr 24  2024 leetspeak.rule
-rw-r--r-- 1 root root 1.3K Apr 24  2024 oscommerce.rule
-rw-r--r-- 1 root root 295K Apr 24  2024 rockyou-30000.rule
-rw-r--r-- 1 root root 1.6K Apr 24  2024 specific.rule
-rw-r--r-- 1 root root 1.3K Apr 24  2024 T0XlC_3_rule.rule
-rw-r--r-- 1 root root  63K Apr 24  2024 T0XlC-insert_00-99_1950-2050_toprules_0_F.rule
-rw-r--r-- 1 root root 165K Apr 24  2024 T0XlC_insert_HTML_entities_0_Z.rule
-rw-r--r-- 1 root root 2.0K Apr 24  2024 T0XlC-insert_space_and_special_0_F.rule
-rw-r--r-- 1 root root  34K Apr 24  2024 T0XlC-insert_top_100_passwords_1_G.rule
-rw-r--r-- 1 root root  34K Apr 24  2024 T0XlC.rule
-rw-r--r-- 1 root root 193K Apr 24  2024 T0XlCv2.rule
-rw-r--r-- 1 root root   45 Apr 24  2024 toggles1.rule
-rw-r--r-- 1 root root  570 Apr 24  2024 toggles2.rule
-rw-r--r-- 1 root root 3.7K Apr 24  2024 toggles3.rule
-rw-r--r-- 1 root root  16K Apr 24  2024 toggles4.rule
-rw-r--r-- 1 root root  48K Apr 24  2024 toggles5.rule
-rw-r--r-- 1 root root  55K Apr 24  2024 unix-ninja-leetspeak.rule
Спасибо, но это не совсем то что я имел ввиду
Есть уже допустим 500 логинов и 500 паролей, для спрей брута (с целью добычи первичного доступа в сеть) никто столько ставить не будет, потому что слишком много времени займет, будет не эффективно
Надо как-то выделить из этой общей массы те логины/пароли которые будут наиболее эффетивны, 50-100 логинов и 50-100 паролей к примеру
 
CookieG сказал(а):
Спасибо, но это не совсем то что я имел ввиду
Есть уже допустим 500 логинов и 500 паролей, для спрей брута (с целью добычи первичного доступа в сеть) никто столько ставить не будет, потому что слишком много времени займет, будет не эффективно
Надо как-то выделить из этой общей массы те логины/пароли которые будут наиболее эффетивны, 50-100 логинов и 50-100 паролей к примеру
Если бы это так работало, как вы себе это представляете, то каждый второй бы ставил log/pass admin/admin. Тут нет определенного ответа. По этому это и называется брут (перебор). вариантов логина и пароля несчислимое колчичество. Единственное, что вы можете сделать, это только сузить круг логинов и паролей по странам. На гит хабе есть статья.
github.com

GitHub - danielmiessler/SecLists: SecLists is the security tester's companion. It's a collection of multiple types of lists used during security assessments, collected in one place. List types include usernames, passwords, URLs, sensitive data patter

SecLists is the security tester's companion. It's a collection of multiple types of lists used during security assessments, collected in one place. List types include usernames, passwords, ...
github.com
 
Последнее редактирование:
CookieG сказал(а):
для спрей брута

Top 200 Most Common Passwords

NordPass presents the 6th annual list of the 200 most common passwords. Discover the most common passwords used worldwide in both personal and corporate settings.
nordpass.com nordpass.com

SecLists/Passwords at master · danielmiessler/SecLists

SecLists is the security tester's companion. It's a collection of multiple types of lists used during security assessments, collected in one place. List types include usernames, passwords, ...
github.com
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх