Brute force hujumiga oid seriyalari maqolalarni davom ettiramiz.Oldinki mavzularda Brute force hujumi nima ekanligi,ushbu hujumni amalga oshirish vositalari haqida ma’lumotlar bergan edik.
Bugungi mavzu Brute force hujumi uchun kerak bo’ladigan Wordlistlar haqida bo’ladi.
Wordlist o’zi nima?
Wordlist – bu axborot xavfsizligi bilan bog’liq turli vazifalarda ishlatilishi mumkin bo’lgan so’zlar, iboralar, loginlar,parollar yoki boshqa belgilar ro’yxatidan tashkil topgan fayl.
Wordlistlar umumiy maqsadli yoki ma’lum bir kontekstga ixtisoslashgan bo’lishi mumkin, masalan, domen nomlari, parollar, loginlar, kataloglar nomlari yozilgan alohida alohida fayllardan iborat bo’lishi mumkin.
Pentesting uchun wordlistlarni topishning yoki yaratishning ko’plab manbalari mavjud va ushbu maqolada biz eng mashhur va foydali ba’zilarini ko’rib chiqamiz.
Kali Linux maxsus axborot xavfsizligi sohasi uchun yaratilganligi sababli, tizimda(Kali linuxda) barcha turdagi wordlistlarni topish mumkin.Kali linuxda Wordlistlar quyidagi katalogda joylashgan: /usr/share/wordlists/
Dirbuster Wordlists —Bu Dirbuster vositasi uchun standart wordlist bo’lib, u veb-saytlardagi yashirin katalog va fayllarni topish uchun ishlatiladi.Ushbu wordlistlarda administrator, login, indeks, config va boshqa umumiy katalog va fayl nomlari mavjud.
Dirb Wordlists — Bu Dirb vositasi uchun standart wordlist bo’lib, u ham veb-saytlardagi yashirin katalog va fayllarni topish uchun ishlatiladi.Ushbu lug’atlar Dirbuster Wordlists-ga o’xshaydi, lekin “cgi-bin“, “robots.txt“, “.htaccess” kabi ba’zi maxsus so’zlarni ham o’z ichiga oladi.
Wfuzz Wordlists — Bu Wfuzz vositasi uchun standart wordlist bo’lib veb saytlar va veb tizimlarga Brute force hujumlarini amalga oshirish uchun ishlatiladi.
Metasploit Wordlists — Bu Metasploit vositasi uchun standart wordlist hisoblanadi.Ushbu katalogda turli xil pentesting hujumlarini amalga oshirishga muljallangan bir qancha turdagi wordlistlarni uchratish mumkin.
RockYou — bu eng mashhur parol wordlisti bo’lib, 2009 yilda RockYou ijtimoiy tarmog’idan sizib chiqqan 14 milliondan ortiq parollarni o’z ichiga oladi.Eslatib Kali Linux birinchi marta yuklanganida, ushbu wordlist gz formatida arxivlangan bo’ladi ishlatishdan avval uni arxivdan chiqarish kerak.
gzip -d /usr/share/wordlists/rockyou.txt.gz
Githubda mavjud wordlistlar
Kali Linux wordlistlarning katta to’plamiga ega. Ammo ba’zida bu to’plam ham yetarli bo’lmasligi mumkin.Mavjud wordlistlarda bizga kerakli foydali yozuvlar topilmasligi mumkin.Aynan shunaqa vaziyatda internetdan yanada yangi wordlistlar ro’yxatini qidirishga tug’ri keladi ammo ushbu jarayon juda ko’p vaqtni olishi mumkin.
Mana shunaqa vaziyatga tushganlar uchun GitHub-ga qarashni maslahat beramiz,chunki u yerda(Githubda) boshqa odamlar tomonidan yaratilgan turli xil wordlistlarni ochiq ya’ni yuklab olish mumkin bo’lgan xolatda topishingiz mumkin.Guthubdagi bir nechta foydali wordlistlar ro’yxatini keltiramiz.Shuningdek Github saytidagi qidiruv formasidan o’zinga kerak bo’lgan wordlistlarni ham topishingiz mumkin bo’ladi.
Izlash : Github wordlists
Seclists — bu parollar, loginlar, kataloglar, subdomenlar, SQL in’ektsiyalari va boshqalar kabi kontekst bo’yicha guruhlangan foydali wordlistlar to’plamidir.Ushbu repozitoriyada turli o’lchamdagi va sifatdagi wordlistlarga ega 600 dan ortiq fayllar mavjud.Seclists shuningdek, eksploitlar, shell kodlari, skriptlar va boshqa foydali resurslarni ham o’z ichiga oladi.
Xajkep’s Wordlists — Xajkep nikli foydalanuvchi tomonidan kataloglar, fayllar, fayl kengaytmalari, pochta provayderlari, parollar va boshqa kontekstlar boʻyicha tanlangan va toʻplangan wordlistlar toʻplami.
Bug-Bounty-Wordlists — bu veb-saytlardagi zaifliklarni qidirishda foydalaniladigan barcha muhim wordlistlarni o’z ichiga olgan repozitoriya hisoblanadi.Ushbu wordlistlar subdomenlar, URL parametrlari, HTTP sarlavhalari, XSS aniqlash payloadlari, SQL in’ektsiyalar va boshqa ko’plab hujum aspektlarini qamrab olgan.
Directories —Bu Xajkep to’plamidagi saytdagi yashirin kataloglarni aniqlash uchun mo’ljallangan wordlist.Ushbu wordlist haqiqiy veb-saytlardan aniqlangan 100 000 dan ortiq katalog nomlarini o’z ichiga oladi.
Backup files — Bu ham Xajkep to’plamidagi backup fayllarni aniqlash uchun mo’ljallangan wordlist.Ushbu wordlistda “.bak“, “.old“, “.zip” kabi boshqa turli kengaytmalarga ega 3000 dan ortiq backup fayl nomlari keltirilgan.
Xajkep’s email providers — Bu Xajkep’s to’plamining elektron pochta provayderlari yozilgan wordlist.Ushbu wordlistda gmail.com, yahoo.com, mail.ru kabi boshqa ko’plab elektron pochta provayderlarining 3600 dan ortiq nomlari mavjud.
Active-Directory-Wordlists’ Users — bu Active Directory uchun eng keng tarqalgan foydalanuvchi nomlari to’plamidir.Ushbu foydalanuvchi nomlari domen controlleri yoki domen akkauntlariga hujum qilish uchun ishlatilishi mumkin.
Probable-Wordlists — bu turli xil kiberxavfsizlik vazifalarida foydalanish uchun mo’ljallangan wordlistlar to’plamidir.Ushbu wordlistlar eng ehtimoliy kombinatsiyalardan foydalangan holda hujumlar samaradorligini oshirishga imkon beradi.
Skull Security Passwords — Bu turli manbalardan toʻplangan 2 milliarddan ortiq parollarni oʻz ichiga olgan Skull Security-dan parol wordlistlari toʻplamidir.Ushbu to’plam har qanday turdagi xeshlarni buzish uchun ishlatilishi mumkin bo’lgan parol wordlistlarining eng katta va eng xilma-xil to’plamlaridan biridir.
Trickest Wordlists — Bu muntazam yangilanib turadigan real ma’lumotlar asosida tuziladigan wordlistlar to’plamidir.Ushbu wordlistlar to’plami ham doimiy ravishda yangilanib boriladi.
Assetnote Wordlists — Assetnote kiberxavfsizlik kompaniyasi tomonidan taqdim etilgan avtomatik va qo’lda to’plangan wordlistlar to’plamidir.Eng yaxshi tomoni shundaki, ular har oyning 28-kunida sayt siyosatiga muvofiq yangilanadi.
Xulosa
Ushbu maqolada biz Brute force hujumlari va pentesting amaliyotlari uchun wordlistlar nima ekanligi,Kali Linuxda mavjud wordlistlar,shuningdek, wordlistlar to’plamini qayerdan topish mumkinligini haqida ma’lumotlar berdik.
Brute force hujumlaridan tashqari wordlistlar pentestingda turli tizimlar yoki saytlardagi zaifliklarni topish va ulardan foydalanishda yordam beradigan eng muhim pentest vositalaridan biridir.
Pentesting uchun wordlistlarni topish yoki yaratish mumkin bo’lgan ko’plab manbalar mavjud, ammo biz faqat eng mashhur va foydali bo’lgan ba’zilarini ko’rib chiqdik.
Umid qilamizki, ushbu maqola sizga pentesting bo’yicha ko’nikmalar va bilimlaringizni yaxshilashga yordam beradi.Savollar uchun telegram guruhimizni eslatib o’tamiz:
Comments