前言
爆破,簡單而粗暴,而成功的關鍵,我覺得在於字典。
隨着安全意識的提升,常規的密碼字典top100、top500啥的已經開始漸漸吃力起來,於是小弟決定做點工作更新一下密碼爆破字典。
當然,收集信息然后按照一定的規則來生成字典,也是比較好的方式,但是不在本文討論范圍,這里只研究比較通用的密碼爆破字典。
不想看過程的話直接跳到最后就能白嫖字典了。
數據來源
我下載了嘟嘟牛、7K7K、人人網、CSDN、178 游戲網等五個平台的泄露數據,只保留密碼這一列,最后經過整理后的總行數為 42,208,168。詳細情況如下表:
(數據量肯定是比不上大佬們的sgk的)
統計分析
b話一大堆,終於開始進入正題了。
我的思路是提取這些泄露數據中的各種類型的密碼,然后按出現頻率排序,比如鍵盤組合top100等等,就能得到各種類型的密碼字典。下面細說:
鍵盤組合
鍵盤組合的密碼,還是蠻常見的,我統計過這些網站泄露密碼的top10:
可以看到我標紅的那些,就是很明顯的鍵盤組合的密碼。
鍵盤組合的匹配方法:
(1) 根據鍵盤相鄰的順序,生成一組dict或者map,例如<a,z>,<a,s>;
(2) 再遍歷字符串中的每個字符,判斷它與它后面的一個字符是否在這組dict或者map中;
(3) 所有字符均滿足此條件則返回True,否則False。
這樣我們就能將泄露數據中鍵盤組合的密碼給提取出來。
拼音
國人使用拼音也挺多的,比如“woaini”這些,搞一搞還是很有必要的。
提取拼音,稍微復雜一點點,得用到字典樹,這里不羅嗦了,代碼會放在github里面。
數字與字母混合
單一字符組成,現在很多網站都不允許這樣設置密碼了,所以我准備提取下非單一字符組成的密碼,數字與字母混合算是一種比較經典的。最后提取出來發現占了全部密碼數據的40%左右。
排序
提取出來之后得按頻率排序,這里我用的是Linux中的sort指令,例如把test.txt中的內容按重復次數降序輸出
>sort test.txt | uniq -c | sort –rn處理結果是這樣,前面是次數,后面是密碼:
結果
最后直接放結果吧:
https://github.com/huyuanzhi2/password_brute_dictionary
鍵盤組合與拼音類型的字典,都是top100、top500、全部三個文件:
字母數字混合的字典,由於太大,因此沒放全部的,只到了top1000。
處理腳本目錄中是用到的相關算法。
最后祝各位爆破必成功!