/usr/share/wordlists
Kali Linux(旧バックトラック)にはいくつかのリストがあります。彼らは何かを総当たりするのに使用されていますか?特定の種類の攻撃に関する特定のリストはありますか?
Kali linuxは、侵入テストとコンピューターフォレンジックのために設計されたディストリビューションで、どちらもパスワードの解読を伴います。つまり、Wordのリストはパスワードの解読に関係していると考えるのは当然ですが、力ずくではありません。
ブルートフォース攻撃は、パスワードを見つけるために文字のすべての組み合わせを試みますが、辞書ベースの攻撃ではWordリストが使用されます。多くの人は辞書の単語に基づいてパスワードを作成し、単語リストは辞書攻撃の資料を提供するために使用されます。辞書攻撃を使用する理由は、総当たり攻撃よりもはるかに速いためです。多くのパスワードがあり、1つまたは2つだけクラックしたい場合、この方法は、特にパスワードハッシュが強力なパスワードが適用されていない場所からのものである場合に、すばやく結果を得ることができます。
パスワードクラッキングのための典型的なツール(John the Ripper、ophtcrack、hashcatなど)は、次のようないくつかのタイプの攻撃を行う可能性があります。
ルール攻撃は、標準のコンピューティングリソースしか手に入らない場合に最も効果的ですが、GPUを利用できる場合は、パスワードが長すぎない限り、ブルートフォース攻撃を実行できます。これは、パスワードの長さ、使用するハッシュ/ソルト、および自由に使用できる計算能力に依存します。
カーリー語のより良い基本的な単語リストの1つは/usr/share/wordlists/rockyou.txt.gz
。解凍するには、単にgzip -d /usr/share/wordlists/rockyou.txt.gz
。
テストする組織で使用されている「既知の脆弱な」パスワードを必ず追加してください。これらの「追加の」カスタムパスワードを上部に追加して、最初にテストされるようにします。
これらのリストは、いくつかのプログラムにフィードするために使用できます。したがって、たとえばaircrack-ng
にはオプションがあります-w
ここでは、引数としてワードリストを取ります。パスワードテストプログラム John the Ripper も推測を加速するためにワードリストを使用します。
ここですでに述べたものに加えて、ワードリストはいくつかのWebアプリツールやsqlmapなどと組み合わせて使用されます。それらを使用する場所を探している場合は、KioptrixやDe-ICEなどの「boot to root」VMの一部をダウンロードして、いくつかのパスワードをブルート攻撃してみてください。
特定の種類のハッキングの特定のリストについては-実際にはそうではありません。個人を対象とした何かをしているのでなければ、あなたはいくつかの事実を知っています(その場合、CUPP-Common User Passwords Profiler-のようなものを使用して、その特定の対象のカスタムワードリストを生成します)。