thregence
جامع ترین و کامل ترین مرجع آموزش هک و امنیت و تست نفوذ

پسوردلیست و کمبولیست چیست؟ | آموزش ساخت پسوردلیست قدرتمند و شخصی سازی شده

0 40

فهرست

در ابتدا باید بگوییم که پسوردلیست و کمبولیست یکسان نیستند! تفاوت‌هایی بین این دو وجود دارد. در این مقاله می‌خواهیم به بررسی هر دوی آن‌ها بپردازیم و در نهایت بررسی کنیم که چطور می‌توان آن‌ها را ساخت.

پسوردلیست (Passwordlist) چیست؟

پسوردلیست (Passwordlist) همانطور که از اسم آن پیداست، لیستی از پسوردها می‌باشد. یعنی یک فایل متنی که درون آن تعداد بسیار زیادی عبارات مختلف وجود دارد که حدس میزنیم می‌توانند پسورد یک حساب کاربری باشند. برای مثال در زیر یک پسوردلیست را مشاهده می‌کنید که شامل تنها 5 عبارت می‌باشد. البته پسوردلیست‌های واقعی بعضا شامل چندین میلیون عبارت می‌باشند.

12345
[email protected]
ThisIsJohn
Ehsan9012343
44Esi44

کاربرد پسورد لیست

کاربرد این لیست‌ها عموما در حملات دیکشنری می‌باشد. حملات دیکشنری حملاتی هستند که در آن‌ها مهاجم یک لیست بزرگ از عبارات مختلف را آماده می‌کند و به ترتیب عبارات داخل این لیست را تست می‌کند، به امید اینکه پسورد صحیح داخل این لیست باشد. البته در اغلب موارد این حملات بوسیله ابزارهای اتوماتیک انجام می‌شوند. این ابزارها یک پسوردلیست از شما می‌گیرند و مقادیر داخل آن را به ترتیب تست می‌کند تا به نتیجه درست برسند. طبیعی است که هر چه پسوردلیست ساخته شده بزرگ‌تر باشد، احتمال وجود پسورد صحیح درون آن بیشتر خواهد بود. در نتیجه احتمال موفقیت حمله، افزایش خواهد یافت.

حملات علیه حساب کاربری

برای مثال فرض کنید یک مهاجم قصد نفوذ به یک اکانت اینستاگرام را دارد. یکی از ساده‌ترین راه‌ها برای نفوذ به این اکانت این است که لیست بزرگی از پسوردهای احتمالی تهیه کند و عباراتی که آماده کرده است را به ترتیب تست کند تا به نتیجه درست برسد. کاری که ما در ویدیو هک اینستاگرام بوسیله پایتون و ویدیو آموزش هک اینستاگرام بوسیله هایدرا توضیح دادیم تا شما مطلع شوید هکرها به چه روشی به اکانت شما نفوذ می‌کنند. در این دو ویدیو، ابتدا یک لیست بزرگ از پسوردهای احتمالی آماده کردیم و سپس به کمک یک ابزار اتوماتیک، تک تک عبارات درون لیست را تست کردیم و در نهایت به پسورد صحیح رسیدیم.

حملات علیه Hash

در بسیاری از موارد وقتی هکر به یک دیتابیس نفوذ می‌کند و به جدول پسوردها دست پیدا می‌کند، پسوردها بصورت Hash شده ذخیره شده‌اند. یعنی پسوردها بصورت خام درون پایگاه داده ذخیره نشده‌اند و بصورت یک Hash درون دیتابیس ذخیره شده‌اند. از حملات دیکشنری می‌توان برای تبدیل Hashها به پسورد اصلی استفاده کرد. یعنی یک لیست بزرگ از پسوردها آماده می‌کنیم. سپس تک تک عبارات درون این لیست را بوسیله Hash Function موجود، به Hash تبدیل می‌کنیم. اگر Hash تولید شده با Hash بدست آمده مطابقت داشت، متوجه صحیح بودن پسورد اولیه می‌شویم. یکی از ابزارهایی که می‌توان به وسیله آن اینکار را کرد، JohntheRipper نام دارد که ویدیو آموزش کامل آن را می‌توانید از این لینک مشاهده کنید.

کمبولیست چیست؟

کمبولیست (Combolist) که مخفف Combination List می‌باشد، به معنای یک لیست ترکیبی می‌باشد. یعنی لیستی که برای مثال بطور همزمان شامل نام کاربری و رمزعبور می‌باشد. برای نمونه در زیر یک کمبولیست کوچک را مشاهده می‌کنید که شامل 6 مورد می‌باشد:

Mojtaba:28923jd30
Mojtaba:2dj3903
Mojtaba:ddwwd-032d
Mohsen:12dsqw3dfd
Kamran:21-0djkqwd
Kamran:plqwxvcn34e

هکرها از کمبولیست در جاهایی استفاده می‌کنند که یا نتوانسته‌اند نام کاربری دقیق در آن سامانه پیدا کنند و یا می‌خواهند بطور همزمان چندین نام کاربری را مورد هدف قرار دهند. برای مثال در کمبولیست بالا، نام کاربری و پسورد احتمالی در کنار یکدیگر آمده‌اند. یعنی ابتدا کاربر Mojtaba با پسورد 28923jd30 تست می‌شود. بعد کاربرد Mojtaba با پسورد 2dj3903 الی آخر. البته این کمبولیست بسیار کوچک است و در واقعیت کمبولیست‌ها بعضا شامل چندین میلیون عبارت هستند.

منظور از پسوردلیست سفارشی (Custom Passwordlist) چیست؟

منظور از پسوردلیست سفارشی، پسوردلیستی است که خودمان با هدف مشخصی ساخته‌ایم. برای مثال فرض کنید یک هکر، یک کاربر انگلستانی را در اینستاگرام هدف گرفته است. طبیعی است که استفاده از پسوردلیست‌های مکزیکی کارامد نخواهد بود. چرا که زبان این دو کشور متفاوت است و احتمال موفقیت هکر با پسوردلیست مکزیکی بسیار کاهش می‌یابد. پس هکر باید به فکر ساخت پسوردلیست انگلیسی باشد. حتی می‌توان گفت که پسوردلیست‌های انگلیسی موجود در اینترنت نیز نمی‌توانند پاسخگوی نیاز هکر باشند. چرا که پسوردلیست‌های آماده معمولا خیلی عمومی هستند. پس چاره چیست؟ در این مواقع هکرها خودشان با ابزارهایی که دارند اقدام به ساخت پسورد لیست می‌کنند. چرا که مثلا وقتی هکر می‌داند که اسم کاربر هدف John است طبیعتا از این اسم بیشتر در لیست خود استفاده می‌کنند:

John1234
johnnnn
john1997
john199023213
thisisJohn
Johnishere
...

ابزارهای ساخت پسوردلیست قدرتمند و سفارشی

ساخت پسوردلیست کار بسیار زمان بری است. همانطور که گفتیم پسوردلیست‌ها بعضا شامل چندین میلیون عبارت هستند. نوشتن چندین میلیون عبارت بصورت دستی سال‌ها زمان می‌برد. به همین دلیل هکرها از یک سری ابزار مخصوص این زمینه استفاده می‌کنند. کافیست الگوی موردنظر خود را به این ابزارها بدهیم تا برایمان پسوردلیست را تولید کنند. در اینجا به معرفی معروف‌ترین و کاربردی‌ترین ابزارهای این زمینه می‌پردازیم.

ابزار Crunch

ابزار Crunch یکی از معروف‌ترین ابزارهای ساخت پسوردلیست می‌باشد که با زبان C نوشته شده است و بسیار سریع می‌باشد. بوسیله این ابزار حدودا هر الگویی که بخواهیم را می‌توانیم پیاده‌سازی کنیم. با وجود این که شش سال از توسعه این ابزار می‌گذرد اما همچنان یکی از برترین ابزارهای این حوزه می‌باشد. این ابزار بصورت پیش‌فرض برروی کالی لینوکس و Parrot نصب می‌باشد و براحتی می‌توانید از آن استفاده کنید. اما براحتی می‌توانید از این لینک سورس آن را دانلود و کامپایل کنید.

ابزار Mentalist

ابزار Mentalist یک ابزار بر پایه پایتون است که دارای محیط گرافیکی می‌باشد و براحتی می‌توان با آن کار کرد. کافیست پایتون را برروی سیستم خود نصب کنید و سپس کد برنامه را از این لینک دریافت و اجرا کنید. کافیست بعد از دانلود سورس کد، یک ترمینال باز کنید و به مسیر فایل دانلود شده بروید. سپس دستور زیر را اجرا کنید تا Mentalist نصب شود:

python setup.py install

بعد از اتمام نصب، درون ترمینال دستور mentalist را وارد کنید تا برنامه بصورت گرافیکی اجرا شود. برای استفاده از این ابزار نیز بصورت زیر عمل می‌کنیم:

Mentalist GUI
آموزش استفاده از mentalist

درباره ما

ترجنس | thregence.ir
آکادمی ترجنس | edu.thregence.ir
اینستاگرام | instagram.com/thregence
تلگرام | t.me/thregence
یوتوب | https://bit.ly/30mGowo
آپارات | aparat.com/thregence 

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.