坏哥分类信息网-互联网信息网 主要是网站安全(黑客技术)  编程 c#  网赚 网络采集-网络爬虫 等等方面

 找回密码
 立即注册
搜索
查看: 3863|回复: 0

今天整理了一天字典,弱口令,敏感目录

[复制链接]

1万

主题

1万

帖子

2万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
20126
发表于 2018-10-24 19:23:30 | 显示全部楼层 |阅读模式
离职后的第10天

今天不想编代码了,看着电脑中的从各个地方收集来的20G各种字典,弱口令,敏感目录,



本来知道这些东西处理起来费时间  因为需要大量手工整理,人工判断。

由于是去重过了, 把他们分为2大类, 弱口令和目录

还有一些 表和字段的名字,由于不经常用 放在了备份文件夹

由于我是收集癖,喜欢收集各种各样的数据源,
包括从各个群下载 各个收费免费论坛下载,得到了几千个敏感目录 弱口令等数据源汇总的,
他们的重要性 我简单的根据出现的次数进行排序  所以  前面的 肯定是

账号  admin root system  test

特定的  tomcat    both    administrator     sa   user  guest   ftp   manager

密码 admin 123456 password

有post注入的人们常说的万能密码    包含  '   =  ; -- or   ()  and   xor   *

路径 admin manager login 和挂后缀的路径

也包括一句话   常用网络木马 的  地址 和密码

等等

我以前还收集过几百G的社工库,社工库硬盘埋起来永久收藏了   
不过从里面提取出了top100000的弱口令 没丢, 也包含在里面了。

目录  分为  大目录  和  敏感目录  
   都是从他们的工具或者所有日志   常用的几千种CMS的目录中提取出来的

敏感目录根据后缀

又分为   没后缀的目录和文件   又有  aspx  asp  php  jsp  htm html等常规的后缀  ,
又有几十个不常用  但是后台或者木马常用的  asa  asax   cer  cdx  ascx asmx  cgi    cdx   do   ashx      
也有一些特定cms有的网页木马  例如  1.asp;1.jpg    a.cer;.jpg等等

还有后台目录和上传目录等都包括再敏感目录中

人们手工生成的例如   几百万几千万弱口令   或者遍历生成的密码  直接扔了。

整理了一天,做了一个完整的系统查询数据库 , 以后有了新数据, 直接丢进去, 有重复的 ,权重++,  没有的  添加。
这样以后工作的时候 , 就方便多了。  先去睡觉。


后续   整理乌云。

http://www.huaige.com/thread-19720-1-1.html


整理的时候  根据每个字典的大小   还有在字典中的位置  还有根据我手工对每个字典的质量进行评分,
综合评分之后    根据我自己制定的 rank 排序总结出了大家都爱设置的用户名和密码
大家最爱设置的用户名   top50

1-5名为
admin
root
test
administrator
user

11-15名
guest
system
master
sa
webmaster

21-25名
hello
server
manager
superman
welcome

31-35名
super
tomcat
sql
ftp
login

41-45名
webadmin
hack
demo
temp

guanli


最爱设置的密码     去掉上面的账号中有的为
第    1 - 5     名为
7777777
passwd
5201314
54321
backup

第    11 - 15     名为
123654
test123
a123456
qwer1234
1314520


第    21 - 25     名为
11223344
111222
1111111
password
root123

第    31 - 35     名为
password123
admin1
admin888
123456
12344321


第    41 - 45     名为
87654321
12345678
12345
abc123
1234


第    51 - 55     名为
111111
123456789
1234567
123
654321


第    61 - 65     名为
123123
qwerty
666666
888888
000000


第    71 - 75     名为
11111111
admin123
password1
123321
987654321



希望大家在设置账号密码的时候  尽量避免这些账号和密码  以防被一些别有用心的人利用

还有下面的  也是一些重灾区   我正在开发的程序都攘括进去了.

包括不限于
账号和密码相同   密码为  账号+888  +123     +1     +单个数字 字母 标点


单个数字 字母 标点  生日年      a aa aaa aaaa 8 88 888 8888 88888 888888 ....
单拼  叠单拼  双拼  

ps   20181114   整理到现在  从刚开始的20G  删除+去重+相似去重   现在一共还剩下   898MB





您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|坏哥信息网旗下分类信息网

GMT+8, 2019-9-22 20:14 , Processed in 0.115623 second(s), 21 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表