Liste di parole su Kali Linux?

15

Ho notato che in /usr/share/wordlists in Kali Linux (ex Backtrack) ci sono alcune liste. Sono abituati a qualcosa di bruteforce? C'è un elenco specifico per tipi specifici di attacchi?

    
posta Stephenloky 21.11.2013 - 14:23
fonte

4 risposte

26

Kali linux è una distribuzione progettata per test di penetrazione e computer forensics, entrambi che comportano il crack delle password. Quindi hai ragione nel pensare che le liste di parole siano coinvolte nel crack delle password, tuttavia non è la forza bruta.

Gli attacchi di forza bruta provano ogni combinazione di caratteri per trovare una password, mentre gli elenchi di parole sono usati negli attacchi basati sul dizionario. Molte persone basano la propria password sulle parole del dizionario e gli elenchi di parole vengono utilizzati per fornire il materiale per gli attacchi al dizionario. Il motivo per cui vuoi usare gli attacchi di dizionario è che sono molto più veloci degli attacchi di forza bruta. Se si hanno molte password e si desidera craccare solo uno o due, questo metodo può produrre risultati rapidi, soprattutto se gli hash delle password provengono da luoghi in cui non vengono applicate password complesse.

Gli strumenti tipici per il crack delle password (John the Ripper, ophtcrack, hashcat, ecc.) possono eseguire diversi tipi di attacchi, tra cui:

  • Forza bruta standard: tutte le combinazioni vengono provate finché qualcosa non corrisponde. È possibile utilizzare un set di caratteri comune sulle tastiere della lingua utilizzata per digitare le password oppure è possibile utilizzare un set ridotto come alfanumerico più alcuni simboli. la dimensione del set di caratteri fa una grande differenza in quanto tempo ci vuole per forzare una password. Anche la lunghezza della password fa una grande differenza. Questo può richiedere molto tempo a seconda di molti fattori
  • Dizionario standard: vengono utilizzate parole del dizionario dirette. È usato principalmente per trovare password davvero scadenti, come password, password123, sistema, benvenuto, 123456, ecc.
  • Attacco dizionario con regole: in questo tipo le parole del dizionario sono utilizzate come base per le crepe, le regole vengono utilizzate per modificarle, ad esempio per capitalizzare la prima lettera, aggiungere un numero alla fine o sostituire lettere con numeri o simboli

Gli attacchi alle regole sono probabilmente il miglior risultato se tutte le risorse di calcolo standard sono disponibili, anche se se si dispone di GPU gli attacchi a forza bruta possono essere fattibili fintanto che le password non sono troppo lunghe. Dipende dalla lunghezza della password, dall'hashing / salting utilizzato e dalla quantità di potenza di calcolo disponibile.

    
risposta data 21.11.2013 - 14:54
fonte
7

Una delle migliori liste di parole di base in Kali è /usr/share/wordlists/rockyou.txt.gz . Per decomprimere, esegui semplicemente gzip -d /usr/share/wordlists/rockyou.txt.gz .

Assicurati di aggiungere le password "conosciute deboli" che vengono utilizzate dall'organizzazione che stai testando. Mi piace aggiungere queste password personalizzate "aggiuntive" all'inizio in modo che siano testate per prime.

    
risposta data 24.11.2015 - 01:47
fonte
2

Tali elenchi possono essere utilizzati per alimentare diversi programmi. Quindi, ad esempio, aircrack-ng ha un'opzione -w in cui accetta un vocabolario come argomento. Il programma di test della password John the Ripper contiene anche elenchi di parole per accelerare l'ipotesi.

    
risposta data 21.11.2013 - 14:53
fonte
0

Oltre a quanto già menzionato qui, le liste di parole vengono utilizzate in combinazione con alcuni strumenti di app Web e cose come sqlmap. Se stai cercando luoghi in cui utilizzarli, scarica alcune delle VM "boot to root" come Kioptrix e De-ICE e prova a utilizzare alcune password.

Come per elenchi specifici per tipi specifici di hack - non proprio. A meno che tu non stia facendo qualcosa contro una persona, conosci alcuni fatti (nel qual caso userai qualcosa come CUPP - Common User Passwords Profiler - per generare un elenco di parole personalizzato per quel particolare target).

    
risposta data 21.11.2013 - 16:00
fonte

Leggi altre domande sui tag