استخدام قواعد البيانات لانشاء هجوم - Brute-Force

مواضيع مفضلة

الأربعاء، 6 فبراير 2019

استخدام قواعد البيانات لانشاء هجوم - Brute-Force

 

استخدام قواعد البيانات لانشاء هجوم Brute-Force

 

تحدثنا سابقا عن هذه النوع من الهجوم brute-force , سوف نتعلم كيف يتم هذه الهجوم بشكل عملي
سوف ننشئ قوائم كلمات حسب كلمات المرور الفعلية الموجودة في تسريبات قواعد البيانات التي حدثت في السنوات الأخيرة .

تم الحصول على هذه القواعد البيانات المسربة من الانترنت المظلم "Darknet" هذه القواعد عمرها لا يقل عن عامين , كما ستوفر كلمات المرور المستخدمة في عام 2016 تسهيل انشاء كلمات مرور لهذا اليوم .


استخدام قواعد البيانات لانشاء هجوم - Brute-Force

قائمة كلمات المرور الجيدة ؟

من الناحية الواقعية ليس ممكن ان تجبر تسجيل الدخول عبر الإنترنت على استخدام قائمة بكلمات مرور تصل إلى 4,000,000 كلمة مرور , هذه الهجوم يفجر جميع أنواع الإنذارات ويستغرق وقتا طويل غير معروف .

من ناحية إخرى يعتقد البعض ان القوئم الكبيرة والضخمة والبالغ حجمها 100 غيغابايت شائعة الاستخدام وغالبًا ما يستخدمها المتسللون . ومع  ذلك , سوف نتعلم أن قوائم الكلمات الصغيرة والمستهدفة افضل من ناحية الكشف والسرعة .

في هذه الشرح سوف نستخدم أداة Pipal .


ما هو Pipal ؟ 

 تم إنشاؤها بواسطة Digininja , وهو معروف بدوائر الأمن السيبراني , هو محلل كلمة المرور الذي ينظم إحصاءات قائمة كلمة المرور.
الجميل في الامر انه يحدد ارقام لكلمات المرور الاكثر شيوعا , وطول كلمة المرور الاكثر شيوعا , وأيضا كلمات المرور الشائعة الموجودة في قواعد البيانات .

تعتبر هذه البيانات ذات قيمة بالنسبة للهاكر الذين يتطلعون إلى تحسين قوة قوائم كلماتهم وزيادة مدى نجاحهم عند تنفيذ هجمات Brute-Force


سوف نعرض لكم تحليل من أداة pipal ل uTorrent ( تم اختراق منتديات مجتمع uTorrent ، وكشف عن التفاصيل الخاصة لمئات الآلاف من المستخدمين. تمكن المتسللون من وضع أيديهم على قاعدة بيانات المستخدم ، ويقول تحذير صادر عن صانع البرامج إن كلمات المرور يجب اعتبارها مخترقة) وهذه التحليل يتألف من من 388,000 كلمة مرور .


(0.11%)386 = 123456
forum123 = 152 (0.04%)
password = 116 (0.03%)
utorrent = 94 (0.03%)
qwerty = 71 (0.02%)
 (0.02%)57 = 12345678
 (0.02%)57 = 123456789
 (0.01%)46 = 111111    
 (0.01%)37 = 123123 
Mykey2012 = 35 (0.01%)
abc123 = 30 (0.01%)
 (0.01%)27 = 000000
trustno1 = 26 (0.01%)
letmein = 26 (0.01%)
torrent = 24 (0.01%)
qazwsx = 24 (0.01%)
Mykey2011 = 23 (0.01%)
 (0.01%)21 = 1234

 

الخطوة الأولى :-


تحميل الاداة طبعا الاداة متوفرة بالكالي لينكس في حال كنت تستخدم لينكس نسخة اخرى يمكنك تحميلها من الامر التالي


git clone https://github.com/digininja/pipal.git



لعرض الخيارات المتوفرة استخدم pipal --help


استخدام قواعد البيانات لانشاء هجوم - Brute-Force



الخطوة الثانية :-

تحليل قوائم المرور:
يجب توفر قائمة كلمات مرور لتحليلها  استخدم الامر التالي لتحليل اي قائمة تريدها



pipal nameOfwordlist.txt

تحتاج الدخول الى سطح المكتب في حال اذا كانت القائمة هناك cd Desktop 
استخدام قواعد البيانات لانشاء هجوم - Brute-Force


 نلاحظ ان التحليل اظهر لنا اول اعلى 10 إحصائيات الأكثر شيوعًا فقط وهذه القيمة افتراضية يمكن زيادتها 

في الصورة التالية سوف تلاحظ تغيير القيمة وعرض احصائيات حسب القيمة التي تحددها انت

pipal --top 50 nameoflist.txt
ما هو Pipal ؟

إرسال تعليق

المشاركة على واتساب متوفرة فقط في الهواتف