參與 CTF 的每個人都至少使用過一次臭名昭著的rockyou.txt單詞表,主要是為了執行密碼破解活動。
該文件是一份包含1400 萬個唯一密碼的列表。
源自 2009 年的?RockYou?黑客攻擊,創造了計算機安全歷史。
多年來,“rockyou 系列”不斷發展。
攻擊者以原始文件為起點,不斷添加來自各種數據泄露的密碼。
最終形成了RockYou2021,這是一個包含 84 億條記錄的列表。
這些龐大的單詞表用于憑證填充和其他暴力攻擊,使未經培訓的用戶面臨未經授權訪問的風險,就像Levi Strauss今年經歷的那樣。
然而現實卻有所不同在 2021 版中,我們觸及了高數字,但最新版本是(顯然)終極融合。
RockYou2024 已由用戶“ObamaCare”發布
新版本在 2021 版本的基礎上添加了 15 億條記錄,達到了100 億條記錄。
單詞表可能用于多種任務,在單個文件中擁有如此多的記錄,尤其是在 2024 年數據泄露日益猖獗的情況下,對攻擊者來說簡直是夢想成真。
用戶尚未指定額外記錄的性質,但可以確定新數據來自最近泄露的數據庫。
對于攻擊者來說,這似乎是一種寶貴的資源,但我們需要分析其內容以確定其真正價值。
-
垃圾數據 = 解壓后的文件大小為 146GB,但經過分析發現,存在很多差異。
首先,32 個字符中的大多數都是原始哈希值(這違背了ObamaCare的承諾),大約有 15GB,60 個字符串也是如此,大小同樣為 15GB。
此外,文件以大量0x00 字符開頭,公司名稱和隨機字符串也是文件的一部分。
ObamaCare 可能不惜一切代價想要達到 100 億條記錄,只是為了出名或引起關注,而不關心額外的數據。
-
真正的威脅和風險= 即使 2021 版本增加了 20 億條記錄,風險和威脅仍然與 3 年前相同。
這個文件的大小不應該像您想象的那樣嚇到您。
在現實世界的攻擊中,攻擊者通常更喜歡從地下市場(憑證經紀人)購買目標憑證,而不是訴諸使用大量單詞表的暴力攻擊。
熟練的攻擊者更喜歡更精確的方法。
他們根據目標量身定制自定義單詞表。
字典、單詞規則和 Kewl、Crunch、Awk 和 Sed 等工具成為他們的首選武器。
使他們能夠采取智能行動,而不是依賴龐大的單詞表。
雖然像這樣的龐大單詞表會產生噪音并引起注意,但潛在風險仍然不那么顯著。
熟練的攻擊者使用有針對性的方法,使用未經提煉的數據進行暴力破解對他們來說效率低下。
隨著發布,并沒有出現額外的安全崩潰,也沒有出現描述的巨大安全風險。
文件下載大小45.61GB,解壓后大小145GB
關注下方獲取下載地址。
)
多來源列表映射多實現類)
