Latest Posts

Wordlist တွေအကြောင်း နဲ့ ဘယ်မှာရနိုင်မလဲဆိုတဲ့အကြောင်း


 Hacking အတွက် Wordlists များ

Wordlists ဆိုတာဘာလဲ

သာမန်အားဖြင့် ကျွန်တော်တို့တွေ Facebook သုံးတဲ့အခါ ကိုယ့်အကောင့်ထဲကိုဝင်ဖို့ Username နဲ့ Password တွေကို ရိုက်ထည့်ဖို့လိုပါတယ်။ 

အဲသည်လိုပါပဲ။ တစ်စုံတစ်ယောက်က သင့်ရဲ့ Username နဲ့ Password ကို သိတယ်ဆိုရင် သင့်အကောင့်ထဲကို ဝင်ရောက်လို့ရပါတယ်။ ဒီတော့ Password က အဓိကကျတယ်ဆိုတာကို သင်သိနိုင်ပါပြီ။ 

ဒီတော့ သင်က AungAung ဖြစ်ပြီး သင့် password သည် aungaung123 ဆိုပါစို့။ သင့်အကောင့်ကို ဝင်ဖို့ကြိုးစားတဲ့ တစ်စုံတစ်ယောက်က aungaung1, aungaung12, aungaung123 စသည်ဖြင့် ဖြစ်နိုင်ချေရှိမယ်ထင်တာတွေကို တစ်ခုစီရိုက်ထည့်ကြည့်ရင်းနဲ့ သင်ပေးထားတဲ့ password နဲ့ တူညီတဲ့ password ကို ရိုက်ထည့်မိလိုက်တဲ့အခါမှာ သင့်အကောင့်ထဲကို ဝင်လို့ရသွားနိုင်ပါတယ်။ အဲဒီနည်းလမ်းကို manual brute forcing လို့ ခေါ်ပါတယ်။

တကယ်တမ်းလက်တွေ့မှာကျတော့ ဖြစ်နိုင်ချေရှိတဲ့ password သည် ရာထောင်ချီပြီးရှိနေနိုင်ပါတယ်။ ဒီတော့ အဲသလို manual brute force နည်းလမ်းသည် အချိန်အလွန်ကြာမှာဖြစ်သလို ပျင်းစရာလည်းကောင်းမှာပါ။ ကိုယ့် password ကိုယ် မေ့သွားတဲ့အခါမျိုးလောက်ကလွဲရင် ဘယ်သူမှလည်းမသုံးကြပါဘူး။ ဘာကြောင့်လဲဆိုတော့ automated tool တွေ ရှိနေလို့ဖြစ်ပါတယ်။ ဒီလို tool တွေနဲ့ တွဲဖက်သုံးနိုင်ဖို့အတွက် ဖြစ်နိုင်ချေရှိတဲ့ password တွေကို ဖိုင်တစ်ခုမှ ကြိုတင်ထည့်သွင်းထားဖို့ လိုအပ်ပါတယ်။ အဲသည်ဖိုင်သည် ဖြစ်နိုင်ချေရှိတဲ့ password တွေကို list လုပ်ထားတာဖြစ်လို့ Password lists or wordlists ဖိုင်တွေလို့ ခေါ်ပါတယ်။ 

Password cracking မှာ Wordlists ကောင်းကောင်းတွေ ရှိဖို့လိုအပ်ပါတယ်။ 


Wordlists in Kali Linux

 Kali Linux က Penetration Testing အတွက် အဓိကရည်ရွယ်တာဖြစ်တဲ့အတွက် Kali ထဲမှာ wordlists တွေ ပါလာပြီးသားဖြစ်ပါတယ်။ 

Kali မှာ ပါလာပြီးသားဖြစ်တဲ့ wordlists တွေကိုတော့ အောက်ပါ directory မှာ ကြည့်နိုင်ပါတယ်။ 


  /usr/share/wordlists



အထဲမှာတော့ dirb နဲ့ dirbuster ဆိုတဲ့ directory တွေကိုပါမြင်ရမှာဖြစ်ပြီး Directory BruteForce လုပ်ဆောင်ဖို့အတွက် လိုအပ်တာတွေ အဲထဲမှာ ပါဝင်ပါတယ်။ WiFi password cracking လုပ်ရာမှာသုံးတဲ့ Fern အတွက် default password file တွေထားရှိရာ fern-wifi ဆိုတဲ့ directory ကိုလည်းတွေ့မြင်နိုင်ပါတယ်။ Metasploit နဲ့ wfuzz ဆိုတဲ့ directory တွေကိုလည်း တွေ့မြင်နိုင်မှာပါ။ (Directory = Folder )


သက်ဆိုင်ရာ Directory တွေထဲမှာ ထပ်ပြီးတော့ ပါဝင်နေတဲ့ဖိုင်တွေကိုတော့ ကိုယ့်ဘာသာ File Manager ထဲကနေ တစ်ဖိုင်စီဖွင့်ကြည့်လိုက်တာက ပိုကောင်းပါလိမ့်မယ်။ wordlists directory ထဲမှာမှ file အနေနဲ့ ပါနေတာတွေထဲမှာ nmap.lst, john.lst ဆိုတဲ့ list file တွေကိုလည်း တွေ့မြင်နိုင်ဦးမှာပါ။ ထူးခြားတာကတော့ Kali ရဲ့ နောက်ပိုင်း Version တွေမှာ compressed လုပ်ထားပြီးထည့်ပေးထားတဲ့ Rockyou ပါပဲ။ သူ့ကို သုံးဖို့အတွက်တော့ ပထမဆုံးအနေနဲ့ compress လုပ်ထားတာကို ဖြည်ယူရမှာပါ။ 

gzip -d /usr/share/wordlists/rockyou.txt.gz

gzip နဲ့ ချုံ့ထားတာမို့လို့ သူ့ကို အထက်ပါ command ကို သုံးပြီးတော့ ပြန်ဖြည်ပေးရမှာဖြစ်ပါတယ်။ အကယ်၍ ကျွန်တော်တို့က root terminal မှာ မဟုတ်ဘူးဆိုရင်တော့ အထက်ပါအတိုင်း ရိုက်ရင် permission denied ပြပါလိမ့်မယ်။ sudo ဆိုတာလေးပါ ထည့်ရိုက်ဖို့ လိုပါမယ်။ 

sudo password တောင်းတဲ့အခါ မိမိတို့ login ဝင်တဲ့ password ကို ရိုက်ပြီး enter လိုက်ပါ။ ရိုက်နေတုန်း ဘာမှ မပေါ်ပါဘူး။ ရိုက်စရာရှိတာရိုက်ထည့်ပြီး enter ရမှာပါ။ 

ဖြည်ပြီးသွားတဲ့အခါ tgz file ပျောက်သွားမှာဖြစ်ပြီးတော့ rockyou.txt ဆိုတဲ့ နာမည်နဲ့ password list file အဖြစ် မြင်တွေ့ရမှာဖြစ်ပါတယ်။ 

ခု ဒီစာရေးနေတဲ့အချိန်အထိ rockyou.txt ဖိုင်ထဲမှာက 14,344,392 (တစ်ရာ့လေးဆယ့်သုံးသိန်းခွဲနီးပါး) line အရေအတွက် ပါဝင်နေပါတယ်။ ဒါကြောင့်မို့ Kali မှာ ပါတဲ့ default text editor တွေနဲ့ ဖွင့်မကြည့်သင့်ပါဘူး။ အဲဒါက သင့်စက်ကို လေးပြီး ဟန်းသွားစေနိုင်ပါတယ်။ ဖွင့်ကြည့်ချင်တယ်ဆိုရင်တော့ sublimetext လို text editor မျိုးနဲ့ ဖွင့်ကြည့်နိုင်ပါတယ်။ 


Kali မှာ ပါတဲ့ နောက်ထပ် wordlist directory တစ်ခုက wfuzz ပါ။ Web app တွေကို bruteforce တိုက်ခိုက်နိုင်တဲ့ wfuzz tool နဲ့ တွဲသုံးနိုင်ဖို့အတွက် စီစဥ်ထည့်ပေးထားတာ ဖြစ်ပါတယ်။ 


Other Wordlists

Kali မှာ wordlist တွေ ပါပြီးဖြစ်တယ်ဆိုသော်ငြားလည်း တကယ့်လက်တွေ့ဘဝမှာ ဒါက လုံလောက်မှုရှိမှာတော့ မဟုတ်ပါဘူး။ 


Github Wordlists

နောက်ထပ် wordlist တွေကို အလွယ်ဆုံး ရရှိနိုင်တာက github မှာပါ။ အောက်ပါ link သည် github ကနေ wordlist တွေကို စုစည်းရှာဖွေပေးထားတဲ့ စာမျက်နှာဆီ ခေါ်သွားပေးနိုင်ပါတယ်။ အဲကနေ မိမိတို့ အလိုရှိရာကို Download ရယူထားနိုင်ပါတယ်။ 

https://github.com/search?q=wordlists&ref=simplesearch


Seclists

Seclists ထဲမှာတော့ wordlist မျိုးစုံစုထားပေးတယ်ဆိုရင် မမှားပါဘူး။ လက်ရှိမှာ သူက MB400 လောက်ရှိပါတယ်။ သူ့ကို install ဖို့အတွက်ကတော့  Kali မှာ အောက်ပါ command လေးကို ရိုက်ပေးရုံပါပဲ။ 

sudo  apt  install  seclists  


seclists ကို install ပြီးတဲ့အခါ Terminal ကနေ seclists လို့ ရိုက်ခေါ်ကြည့်ရင် သူ့ directory ကို မြင်ရပါမယ်။ 

/usr/share/seclists မှာ ရှိတာပါ။   


install တဲ့အခါမှာ seclists မှာက s ကို သတိထားပါ။ နောက်ဆုံးမှာ s မပါရင် ရမှာမဟုတ်ပါဘူး။ အချို့က ကျန်ခဲ့တတ်လို့ error တက်ကြောင်း မေးကြလို့ပါ။ အကယ်၍ သင်က Kali မသုံးတဲ့သူ ဆိုရင်တော့ အောက်ပါ github link ကနေ သွားယူနိုင်ပါတယ်။  

https://github.com/danielmiessler/SecLists



Assetnote Wordlist

နောက်ထပ် ထင်ရှားတဲ့ wordlist တွေကတော့ assetnote wordlist ပါ။ အောက်ပါ site မှာ သွားကြည့်ပြီး ကြိုက်ရာ ဒေါင်းနိုင်ပါတယ်။ 

https://wordlists.assetnote.io/



Packetstorm Wordlists

သူလည်းပဲ wordlists တွေစုစည်းတည်ရှိရာ နေရာတစ်ခု ဖြစ်ပါတယ်။ 

https://packetstormsecurity.com/crackers/wordlists



Creating Wordlists yourself

wordlist တွေကို သင်ကိုယ်တိုင် ဖန်တီးတာကလည်းပဲ ကောင်းမွန်တဲ့အချက်တစ်ခု ဖြစ်နိုင်ပါတယ်။ ရှိပြီးသား wordlist တွေမှာ မရှိနိုင်သေးတဲ့ မြန်မာနာမည်တွေ aungaung myamya ayeaye လိုစာလုံးမျိုးတွေ ပါနေတယ်ဆိုရင်တောင်မှပဲ wordlist တော်တော်များများမှာ ရှာတွေ့နိုင်ဖို့မလွယ်ပါဘူး။ ဒီတော့ သင်ကိုယ်တိုင် ဖြစ်နိုင်ချေရှိတာတွေကို စဥ်းစားတည်ဆောက်ရင်လည်း ပိုပြီးတော့ ဖြစ်နိုင်ချေရှိတဲ့ wordlist မျိုး လာနိုင်ပါတယ်။ 

wordlist ဖန်တီးနိုင်တဲ့ tool တွေ အများကြီး ရှိပါတယ်။ အဲထဲကမှ အသုံးများတာတွေကို ပြောရမယ်ဆိုရင်တော့

  1. Cewl
  2. Crunch
  3. CUPP
  4. Bopscrk
  5. BEWGor
  6. DyMerge
  7. Mentalist

စတဲ့ tool တွေပဲ ဖြစ်ပါတယ်။ တစ်ခုစီအကြောင်းနဲ့ အသုံးပြုပုံကို နောက် ဆက်ပြီး ဖော်ပြပေးသွားပါမယ်။


စောင့်ဖတ်ပေးကြသူအားလုံးကို ကျေးဇူးပါ။


Thank you all

1 comment:

  1. is there any wordlist that created in Myanmar?

    ReplyDelete